あうとぷっと

Security, Research, CTF, SOC, Incident, Malware, Analysis, OSINT

Today's security summary(2017/6/8)

この記事は、なにをまとめているの?

2017/6/8に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。
主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリンク先まで目を通すことをおススメします。

日本語で流れてこない情報を中心に、概要を書いて興味を持ってもらえるようにまとめたいと思います。

注意事項

危険なサイトへ誘導するようなことが無いように細心の注意を払って気を付けていますが、 一次情報源や海外のWebサイトへアクセスする際には自己責任での利用をお願いいたします。


目次


1日のまとめ / Summary

[Apple] 700万ドル相当に値する顧客データを売却していた22人を逮捕

概要 : 新華社通信の記者が浙江省公安局から確認した情報によると、  2017年1月に疑惑が発覚し、数か月調査した結果、
 5月3日に中国東部の浙江省にあるApple供給業者で働く従業員で構成されたメンバーが、
 顧客に関する機密情報等を内部データベースにアクセスして販売していたことが分かったという。

 警察によると、2017年6月1日から始まったサイバーセキュリティ法が適用されるため、
 個人情報の販売は厳しく対処されると警告しています。

対象

  • ユーザ名
  • 電子メールアドレス
  • 電話番号
  • Apple ID

対象のユーザ層が、中国エリアのみであるかは今のところ不明。

一次情報源 : 新華社通信

Date : 2017-06-07 11:16:31(現地)

二次情報 : 微读吧

Date : 2017/6/7(現地)

二次情報 : The Hacker News

Date : 2017/6/8(現地)


[F-Secure] 中国のFoscam社製の2つのカメラで複数の脆弱性

概要 : F-Secureのレポートによると、攻撃者がカメラにアクセスすることが可能になると
 マルウェアに感染させることが可能な問題が複数あることが確認されたということです。

 特に大きな問題は、パスワード(ランダムではないパスワード、空のパスワード)がハードコードされているため、
 デフォルトパスワードから変更することが出来ない仕様であることとしています。

 ベンダによる適切な対応が行われるまでは、これらの製品の使用を控えることを推奨します。

対象製品

  • Opticam i5 : System Firmware(1.5.2.11) / Application Firmware(2.21.1.128)
  • Foscam C2 : System Firmware(1.11.1.8) / Application Firmware(2.72.1.32)

指摘された脆弱性

  • 安全ではないデフォルトクレデンシャル情報(Webインターフェース:ランダムな文字列ではない/FTPサーバ:空パスワード)
  • ハードコードされたパスワード
  • 隠されたTELNET機能の有効
  • コマンドインジェクション
  • クリティカルなリソースに対して不適切な権限設定
  • 権限チェックの欠如
  • 不適切なアクセス制御
  • 認証処理に回数制限が存在しない
  • 無制限のリソース消費
  • スタックベースバッファオーバーフロー

一次情報源 : F-Secure

Date : 2017/6/7(現地)

二次情報 : Ars Technica

Date : 2017/6/8 7:10(現地)


[SEC Consult] Wimaxに複数の脆弱性

概要 : Wimax ISPに加入する人へ配られるWIMAXルータに複数の脆弱性があることを発見した。

 攻撃は非常に容易で、特定のURLへパスワードに関するパラメータをPOSTすることで
 攻撃者が管理者パスワードを変更することが可能となる。
 PoCも公開済みです。

 現時点(2017/6/9)では対策が公開されていないため、
 該当機種を所有する方は利用を控えることを推奨します。

影響がある機種

  • GreenPacket OX350 (Version: ?)
  • GreenPacket OX-350 (Version: ?)
  • Huawei BM2022 (Version: v2.10.14)
  • Huawei HES-309M (Version: ?)
  • Huawei HES-319M (Version: ?)
  • Huawei HES-319M2W (Version: ?)
  • Huawei HES-339M (Version: ?)
  • MADA Soho Wireless Router (Version: v2.10.13)
  • ZTE OX-330P (Version: ?)
  • ZyXEL MAX218M (Version: 2.00(UXG.0)D0)
  • ZyXEL MAX218M1W (Version: 2.00(UXE.3)D0)
  • ZyXEL MAX218MW (Version: 2.00(UXD.2)D0)
  • ZyXEL MAX308M (Version: 2.00(UUA.3)D0)
  • ZyXEL MAX318M (Version: ?)
  • ZyXEL MAX338M (Version: ?)

一次情報源 : Sec Counsult

Date : 2017/6/7(現地)

一次情報 : Sec Consult(Advisory)

Date : 2017/6/7(現地)
https://sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170607-0_Various_WiMAX_CPEs_Authentication_Bypass_v10.txt

二次情報 : Security Week

Date : 2017/6/8(現地)


[Welive Security] ブリトニースピアーズのInstagramにロシア語のマルウェアへのリンク注入

概要 : 日本語の記事はHUFFPOSTしかなかったので、一応紹介。

 2月6日に、インスタグラムのコメント欄にマルウェアへのリンクが埋め込まれていることが確認されました。
 有名人のコメントに埋め込むことで、感染者を増やしている模様です。

 攻撃者は「Turla」と呼ばれるロシアのハッキンググループであるとされており、長期的に活動を行っています。  短縮URLから展開された通信先は、C&Cへ接続されてしまいます。

 今回使われた短縮URLであるbit.lyは、前記事でも紹介したように、集計ページを閲覧できます。  2017/6/9時点では、既に危険なリンクであるとしてアクセスできない状態になっています。

一次情報源 :

Date : 2017/6/6 14:00(現地)

二次情報 : Huffington Post Japan

Date : 2017/6/8 18:19(日本時間)

二次情報 : Instagram

Date : 2017/1/7(現地)


[Peerlyst] Zusy Malwareの亜種によるPowerPointファイルからの感染

概要 : Officeマルウェアと言えばマクロを介して実行されるものが多いが、
 このマルウェアは外部プログラム機能を使用します。

 PowerPointが開かれるとリンクが表示され、HoverするとPowershellが実行されるという流れです。

感染シナリオ

  1. PowerPointを実行
  2. リンクが表示
  3. URLにカーソルを合わせる(Hover)
  4. マルウェアを自動でダウンロードしに行く

※Office 2010 / 2013では、警告が表示され、有効にしない限りコードは実行されません。
※PowerPoint Viewerはプログラムが実行できないため影響を受けません。

一次情報源 : peerlyst.com : Marry Trame

Date : 2017/5/31
Peerlyst

一次情報源 : SentinelOne Labs

Date : 2017/6/2(現地)

  • IoC (C&C1個、ハッシュ3個)が掲載されています。

二次情報 : Dodge This Security

Date : 2017/6/2(現地)

  • IoC (C&C URL2個/IP1個、ハッシュ4個)が掲載されています。

二次情報 : Malawrebytes

Date : 2017/6/8(現地)

二次情報 : Threat Post

Date : 2017/6/7 14:36(現地)

二次情報 : Sandbox分析結果

二次情報 : Virustotal