Nick Security Blog

Webやスマホのセキュリティ情報などを取り扱っています。

週間 Nick気になった記事(Web・スマホ・その他) ver3

f:id:NickShadows:20210130102844j:plain

Web

Web shell attacks continue to rise
Web Shellは増え続けているよという記事。
Web Shellアップロード可能なCVEとエクスプロイトが例としてあり、わかりやすい。

どのような手法でアップロードし、永続化するかというのも書いてある。
そもそもがMSの記事なので、Defenderがどう動作するかも書いてある。
Red、Blueともに参考になる記事。

一方、この記事が出て困るのはセキュリティに時間を割けない企業か。
攻撃・防御の手法が記載されているということは、少なくともこれらを知って対策していないとスタートラインに立てないということ。
知らない間にどんどんスタートラインから離されていくのはかわいそうでもある。
www.microsoft.com

Middleware, middleware everywhere - and lots of misconfigurations to fix
nginxの設定ミスを使用した攻撃手法。
HTTP Splittingがこのような方法でできるとは驚いた。
configをまじまじと見たことはなかったので、良いきっかけになった。

labs.detectify.com

HOW TO FIND XXE BUGS: SEVERE, MISSED AND MISUNDERSTOOD
XXEが導入から細かく書かれている。
この記事だけで、どこで探すか、何を試すか、どういうふうに試せばいいかがわかる。

www.bugcrowd.com

Smarty Template Engine Multiple Sandbox Escape PHP Code Injection Vulnerabilities
smartyのSSTIについて。
メインはサンドボックスのエスケープなのだが、サンドボックスのあたりがよくわかっていないので別に見なくてもいいかなとは思っていた。
だが、smartyのSSTIについて最初から記載されているので、導入としてちょうどよかった。
srcincite.io

スマホ

SHAREit Flaw Could Lead to Remote Code Execution
SHAREitアプリの脆弱性。
公開されたブロードキャストが任意のコンポーネントを起動する脆弱性がある。
その後の悪用として、コンテンツプロバイダーの「grantUriPermissions」設定を使用したりしている。

ディープリンク経由でsapkをインストールする機能もあるなど、いろいろやりたい放題。
開発者の方はこういう実装をしないようにといい例であるし、診断メンバーはこのような実装があれば指摘できるサンプルとなる。
とてもありがたい。
www.trendmicro.com

ANDROID 12 DEVELOPER PREVIEW 1リリース:変更点と新機能
Webviewのsamesite対応とコンポーネントの公開設定の変更が印象強い。
「android:exported」を明示的に設定しないといけないため、うっかりはなくなりそう?
どちらにせよ、ディープリンクなどは公開しないといけないため、実質的にはこれまでと変わらなさそう。

techbooster.org

developer.android.com

Apple Platform Security
Appleによるプラットフォームセキュリティの公式ガイド。
Androidにも公式の資料は大量にあったが、Appleは(私が探した感じでは)見当たらなかったのでとてもありがたい。

www.itmedia.co.jp https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf

その他

Measuring risk: Organizations urged to choose defense-in-depth over CVE whack-a-mole
CVSSなどの単体のリスクの高さを評価の基準にするなという話。
攻撃する条件は何で、どんな影響があるか?を考えて多層に対策するのが大事とのこと。
(コード実行に特権が必要なら、そもそも特権を漏らさないような仕組みを作り、さらにパッチも当てるなど)

うーん、一般企業には難しそう。
専門の部署というか、社内RedTeamが無いと難しそうでは?
それも、ある程度経営に話ができるレベルのRedTeamがある会社。

ちなみに、運用やっていた観点からすると、パッチ当てると不具合が出ることも多く、簡単には当てづらい。
検証も時間がかかるし、そもそも技術的にどう検証していいか明確でない場合も多い。
そのため、新しいパッチを当てるのに何年もかかったりするし、そもそも当てなかったりもする。
経験と合わせて、すごく納得が行く記事だった。
portswigger.net

The importance of continuity in fuzzing - CVE-2020-28362
ファジングの継続性の重要性が書かれている。
ターゲットがOSSのため、OSS-Fuzzなどを使用して定期的にファジングを実施しようというもの。
もはや監視に近い?
adalogics.com