2018 年最大のセキュリティ脆弱性

2018 年は、世界中の IT プロフェッショナルにとって頭を悩ませる年でした。ハードウェアレベルに関連するものであっても、情報セキュリティ専門家が直面しなければならない重大なセキュリティ脆弱性が数多く存在します。ここでは、2018 年の 4 つの最大の脆弱性とその対処方法を紹介します。

Spectre と Meltdown - 2018 年を通じてセキュリティプロジェクトを支配した人物

2018 年 1 月 4 日に初めて出現したSpectre および Meltdown の脆弱性により、アプリケーションがカーネルメモリを読み取ることができ、年間を通じて IT プロフェッショナルに深刻なセキュリティ問題が発生しました。問題は、このペアがハードウェアレベルの脆弱性を表しており、軽減することは可能ですが、ソフトウェアでパッチを適用することはできないことです。 Intel プロセッサ (2013 年より前に製造された Atom チップと Itanium シリーズを除く) が最も脆弱ですが、AMD プロセッサ、OpenPOWER および Arm 設計に基づくその他の CPU にもマイクロコードパッチが依然として必要です。一部のソフトウェア救済策も実装できますが、多くの場合、ベンダーは保護を適用してプログラムを再コンパイルする必要があります。

これらの脆弱性の存在が明らかになったことで、少しの演繹的トリックを必要とするサイドチャネル攻撃に対する新たな関心が高まりました。数か月後、BranchScope の脆弱性も明らかになりました。この発見の背後にある研究者は、BranchScope が SGX セキュアエンクレーブによって保護されるべきデータを読み取る機能と、ASLR を無効にする機能を提供することを示しました。

要約すると、最初に公開された Spectre-NG、Spectre 1.2、および SpectreRSB に加えて、SgxPectre などの他の関連脆弱性に加えて、Spectre 脆弱性の合計 8 つの亜種が発見されました。

Meltdown および Spectre の BIOS アップデートダウンロードリンクのリスト

memcached による記録破りの DDoS 攻撃

2018 年、ハッカーはmemcached の脆弱性を利用してDDoS 攻撃を組織し、その規模は 1.7Tbps に達しました。この攻撃は、サーバーが自身の IP アドレスを偽装し (攻撃対象のアドレスを送信元アドレスとして指定し)、15 バイトの要求パケットを送信することによって開始され、これに別のホストが応答します。 134KB～750KB。リクエストとレスポンスのサイズの差は 51,200 倍を超えており、この攻撃は特に強力です。

概念実証 - この状況に対処するために、攻撃に簡単に適応できるタイプのコードがさまざまな研究者によって立ち上げられています。その中には、Shodan 検索エンジンと統合された「Memcrashing.py」があり、脆弱なサーバーを見つけます。攻撃が開始される可能性があります。

幸いなことに、memcached の DDoS 攻撃は防ぐことができますが、memcached ユーザーはシステムの悪用を防ぐためにデフォルト設定も変更する必要があります。システムでUDPが使用されていない場合は、-U 0 スイッチを使用してこの機能を無効にすることができます。それ以外の場合は、-listen 127.0.0.1 スイッチを使用してローカルホストへのアクセスを制限することをお勧めします。

Drupal CMS の脆弱性により、攻撃者が Web サイトを制御できるようになります

Drupal の 110 万サイトに対する緊急パッチは 3 月末までにリリースされる必要がありましたが、この脆弱性は、PHP が URL パラメータの配列を処理する方法とハッシュ関数の使用との間の競合に関連しています。Drupal の配列の先頭には (#) が付けられています。特別なキーを示すキーを使用すると、多くの場合、余分な計算が発生し、攻撃者が任意にコードを「挿入」できる可能性があります。この攻撃は、Paragon イニシアチブの Scott Arciszewski によって「Drupalgeddon 2: Electric Hashaloo」というあだ名が付けられました。

4 月には、リモートコード実行の脆弱性を引き起こす可能性がある # 記号を削除するために GET パラメータの URL を処理する機能を対象として、この脆弱性に関連する問題に 2 回目のパッチが適用されました。

この脆弱性は公的に報告されたにもかかわらず、115,000 以上の Drupal サイトが影響を受け、多くのボットネットがこの脆弱性を積極的に利用して悪意のある暗号化ソフトウェアを導入しました。

BGP 攻撃は DNS サーバーをブロックしてアドレスを盗みます

インターネット上の 2 つのシステム間の最も効率的なパスを決定するために使用される「ツール」であるボーダーゲートウェイプロトコル (BGP) は、悪意のあるネットワークの問題が徹底的に検討される前にこのプロトコルが設計されているため、将来的には悪意のある攻撃者の標的になると予測されています。。 BGP ルートには集中管理された権限はなく、ルートは ISP レベルで受け入れられるため、一般的なエンタープライズ規模の導入モデルではアクセスできないと同時に、ユーザーの手の届かないところに置かれます。

4 月には、AWS のDNSサービスコンポーネントである Amazon Route 53 に対して BGP 攻撃が行われました。 Oracle の Internet Intelligence チームによると、攻撃は米国オハイオ州コロンバスにある eNet (AS10297) が運営する施設にあるハードウェアから発生しました。攻撃者は MyEtherWallet.com リクエストをロシアのサーバーにリダイレクトし、フィッシング Web サイトを使用して既存の Cookie を読み取ってアカウント情報をコピーしました。ハッカーはこの攻撃で 215 イーサ（約 16 万ドルに相当）を獲得しました。

BGP は、場合によっては国家関係者によって悪用されることもあります。 2018 年 11 月、イランのいくつかの組織が同国への Telegram トラフィックをブロックする目的で BGP 攻撃を使用したことが報告されました。さらに、中国は、北米、ヨーロッパ、アジアの拠点を介して BGP 攻撃を使用しているとも非難されています。

これらの攻撃から BGP を保護する取り組みは、NIST と DHS 科学技術総局がセキュアドメイン間ルーティング (SIDR) と協力して実施しています。SIDR は、リソースを使用して「BGP ルートオリジン認証 (BGP ルートオリジン検証)」を実行することを目的としています。公開鍵インフラストラクチャ。

続きを見る：