セキュリティエンジニアが気になったニュースまとめ 2024/09/02~09/08

雑談

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。 

2024/09/02

農業協同組合 (JAバンク) をかたるフィッシング (2024/09/02)

https://www.antiphishing.jp/news/alert/jabank_20240902.html

農業協同組合 (JAバンク) をかたるフィッシングの報告を受けています。

メールの件名
【農業協同組合】振込(出金)、ATMのご利用(出金)利用停止のお知らせ
[JAネットバンク]利用停止のお知らせ (2024/09/03 追記)

※上記以外の件名も使われている可能性があります。

以下URLへのリンクを含むフィッシングメールが報告されています。

https://xa●●●●.com/
https://soji●●●●.com/
https://yu●●●●.com/
https://bahao●●●●.com/

メール内リンクのドメイン確認する、思い当たる節がないメールのリンクは開かないなどの対策をしましょう。フィッシングと思われるメールが届いた場合、こちらから報告ができます。

2024/09/04

PyPIでのリバイバルハイジャック
(Revival Hijack – PyPI hijack technique exploited in the wild, puts 22K packages at risk)

https://jfrog.com/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk/

… “Revival Hijack” attack method could be used to hijack 22K existing PyPI packages and subsequently lead to hundreds of thousands of malicious package downloads. Fortunately, our proactive measures thwarted bad actor efforts before significant damage could occur.

… 「リバイバルハイジャック」攻撃手法を使用して 22,000 個の既存の PyPI パッケージをハイジャックし、その後数十万個の悪意のあるパッケージのダウンロードを引き起こす可能性があることが証明されました。幸いなことに、当社の予防的対策により、重大な被害が発生する前に悪意のある攻撃者の活動を阻止することができました。

リバイバルハイジャックとは、削除されたリポジトリと同名のリポジトリを作成することです。以前の正規のリポジトリに見せかけた悪意のあるコードをダウンロードさせることができます。

これはリポジトリ管理者を検証、確認することで防ぐことができますが、現在(2024年9月時点)のPythonのパッケージ管理「pip」には管理者の検証がなく、PyPIにも同名パッケージの登録が行える状態にあるようです。

この被害にあわないように、人気だったが削除されたパッケージに対して、アカウント「security_holding」によってパッケージ名が登録されているようです。古いバージョン指摘によってアップデートも行われないようになっています。

ただ、すべてのパッケージにこの処置が施されたわけではないので、CI/CDのフローにPyPIリポジトリの作者を検証する必要があります。

2024/09/05

WordPressプラグイン”LiteSpeed Cache”にアカウント乗っ取りの脆弱性
(Critical Account Takeover Vulnerability Patched in LiteSpeed Cache Plugin)

https://patchstack.com/articles/critical-account-takeover-vulnerability-patched-in-litespeed-cache-plugin/

The plugin suffers from an unauthenticated account takeover vulnerability which allows any unauthenticated visitor to gain authentication access to any logged-in users and at worst can gain access to an Administrator level role after which malicious plugins could be uploaded and installed.

このプラグインには、認証されていないアカウント乗っ取りの脆弱性があり、未認証でもログインユーザーの認証を得ることができます。最悪の場合、管理者レベルのアクセスを得ることができ、悪意のあるプラグインがアップロード、インストールされる可能性があります。

「LiteSpeed Cache for WordPress(LSCWP)」は、サーバーレスポンスを向上させるプラグインです。累計600万インストールを超える人気のWordPressプラグインにセッションIDが漏洩する脆弱性が発見されました。

漏洩が起こりえる条件としては以下の2つを満たした場合です。

  • /wp-content/debug.log にアクセスが可能(アクセス制御に不備がある)
  • デバッグログが有効

これらの条件によってレスポンスの「Set-Cookie」ヘッダがログに書き込まれ、ログファイルのパスにアクセスしたユーザーにセッションIDが漏洩します。

脆弱性はv6.5.0.1以降で修正され、ログファイルのパスとCookie情報をデバッグログに出力しないようになりました。

この脆弱性から、サーバー側でCookieを扱う際はログに出力しないことと、適切なアクセス制御をサイトに設定することが不可欠だと言えます。認証機能をカスタムする場合も(脆弱性が混入しやすいので推奨はされませんが)今回の対策は参考になります。

 

まとめのまとめ

秋服と月見バーガーを探しに行く時期です。

担当: HO

タイトルとURLをコピーしました