S3 Ep140: ランサムウェアを知っていると思いますか?

下にオーディオプレーヤーがありませんか？ 聞く 直接に Soundcloudで。

ダグ。  ルーターの問題、Megaupload の大きなトラブル、その他 MOVEit の混乱。

NakedSecurityポッドキャストでそれ以上のものを。

【ミュージックモデム】

皆さん、ポッドキャストへようこそ。

私は Doug Aamoth です。 彼はポール・ダックリンです。

ポール、どうしますか？

---

アヒル。  イギリスとイギリス連邦の英語のリスナーのための曖昧さ回避です、ダグ…

---

ダグ。  「ルーター」 [米国式の「ROWTER」ではなく、英国式の「ROOTER」と発音します]

---

アヒル。  木工道具のことではないでしょうか？

---

ダグ。  いいえ！ [笑い]

---

アヒル。  パッチが間に合わないと、犯罪者がネットワークに侵入できるようになるということですか?

---

ダグ。  はい！

---

アヒル。  「ROOTER」と呼ばれるものの動作は、テーブルの端に対して「ROWTER」が行う動作と同じように、ネットワークに対してどのような動作をするのでしょうか? [笑い]

---

ダグ。  その通り！ [笑い]

それについてはすぐに説明します。

しかしまず、私たちの 今週の技術史 セグメント。

ポール、今週 18 月 1979 日、16 年に遡ります。Microsoft が 8086 プロセッサ用の BASIC プログラミング言語のバージョンを公開したことで、XNUMX ビット コンピューティングは大きな前進を遂げました。

このバージョンには 8 ビット プロセッサとの下位互換性があり、Z80 および 8080 プロセッサで利用可能だった BASIC が作成され、すでに約 200,000 台のコンピュータに搭載されており、ほとんどのプログラマーの矢が立った、とポール氏は言います。

---

アヒル。  のちのGW-BASIC!

これが本当かどうかはわかりませんが、GW-BASIC は「GEE WHIZZ!」の略だとよく読みます。 [笑い]

---

ダグ。  はぁ！ [笑い]

---

アヒル。  それが本当かどうかは分かりませんが、私はそう思いたいと思っています。

---

ダグ。  さて、話に入りましょう。

ニュースになっている内容に入る前に、XNUMX つのエピソードのうちの最初のエピソードを発表できることをうれしく、いや、興奮しています。 ランサムウェアを知っていますか?

これは、ソフォスの友人による 48 分のドキュメンタリー シリーズです。

「ランサムウェア ドキュメンタリー」 – ソフォスの新しいビデオ シリーズが始まります。

と呼ばれる最初のエピソード サイバー犯罪の起源で視聴できるようになりました。 https://sophos.com/ransomware.

と題された第2話 狩る者と狩られる者、28 年 2023 月 XNUMX 日に利用可能になります。

エピソード3、 武器も戦士も、 5 年 2023 月 XNUMX 日に廃止されます。

それをチェックしてください https://sophos.com/ransomware.

第一話を見ましたが、素晴らしいですね。

私たちが毎年戦い続けているこの惨劇の起源について、あなたが抱くかもしれないすべての疑問に答えます、ポール。

---

アヒル。  そして、それは私のお気に入りの言葉であると一般のリスナーが知っているであろう内容に非常にうまく反映されています（これが常套句になっていないことを願っています）。 歴史を思い出せない者は、歴史を繰り返すと非難される。

そんな人にはならないでください！ [笑い]

---

ダグ。  さて、犯罪の話題に移りましょう。

Megaupload 創設者 XNUMX 人のうち XNUMX 人が懲役刑。

ここで著作権侵害が問題になっています、ポール、その準備には約XNUMX年かかりましたか？

Megaupload のコンビはついに刑務所に行くことになるが、Kim Dotcom は戦い続ける…

---

アヒル。  はい。

先週、私がそのジョークを言い換えたときのことを思い出してください。「バスがどんなものか知っていますか?」 何年も経っても誰も来ないのに、一度にXNUMX人も来るのですか？」 [笑い]

しかし、それを「一度に XNUMX つ到着する」と解釈する必要がありました…

…そして、私がそれを言ったすぐに、XNUMX番目のものが到着しました。 [笑い]

そして、これはニュージーランド、またはアオテアロアから出たものです。

Megaupload は、悪名高い初期のいわゆる「ファイル ロッカー」サービスでした。

これは、ファイルをロックするランサムウェアのような「ファイル ロッカー」ではありません。

これはジムのロッカーのような「ファイル ロッカー」です。ファイルをアップロードして後で取得できるようにするクラウドの場所です。

このサービスが削除されたのは、主に米国の FBI が削除命令を受けたためであり、その主な目的は実際にはメガ *アップロード* サービスではなく、メガ *ダウンロード* サービス、つまりビジネス モデルであると主張したためです。その内容は著作権侵害の奨励と奨励に基づいていました。

このビジネスの主な創設者は、有名な名前である Kim Dotcom です。

そしてそれは本当に彼の姓です。

彼は自分の名前（元々はキム・シュミッツだったと思う）をキム・ドットコムに変えてこのサービスを立ち上げ、アオテアロア裁判所が彼に引き渡しをする理由がないとの判決を下したにもかかわらず、米国への引き渡しを求めて闘い続けている。引き渡されないよ。

残りのXNUMX人のうちのXNUMX人、フィン・バタトという名前の男は、悲しいことに昨年癌で亡くなった。

しかし、Megaupload サービスの立役者である他の XNUMX 人の人物、Mathias Ortmann と Bram van der Kolk は…

…彼らは米国への引き渡しを求めて闘ったが（その理由は理解できるだろう）、そこで高額の懲役刑に処される可能性もあった。

しかし最終的には、彼らはNZ[ニュージーランド/アオテアロア]の裁判所、そして米国のFBIおよび司法省と合意に達したようだ。

彼らは代わりにニュージーランドで起訴され、有罪を認め、米国当局の進行中の捜査を支援することに同意した。

そして、彼らはそれぞれ懲役2年7か月と懲役2年6か月という判決を受けた。

---

ダグ。  この事件の裁判官は興味深い指摘をしていたと私は感じた。

---

アヒル。  すぐそこにいると思うよ、ダグ。

注目すべきは、これは法廷が「世界中の巨大企業が数十億ドルを失ったという事実を受け入れる」という問題ではなかったことだ。

実際、判事は、こうした主張は割り引いて受け止める必要があると述べ、海賊版ビデオをダウンロードした人全員がそうでなければオリジナルを購入していたとは言い切れないと示唆する証拠を引用した。

したがって、一部の巨大企業が好む方法で金銭的損失を合計することはできません。

それにもかかわらず、それは正しくないと彼は言いました。

そしてさらに重要なことに、彼はこう言いました、「あなたは実際に小さな子供たちも傷つけました、そしてそれは同じくらい重要です。」

そして彼は、ニュージーランドの南島出身のインディーズソフトウェア開発者の事例を引用し、裁判所に次のように書簡を送った。 侵害コンテンツを削除してもらうために、10 回か 20 回、Megaupload に訴えなければならなかったことが分かりました。 そうするのにとても時間がかかりましたが、少しも違いはありませんでした。 ですから、私がビジネスで生計を立てることができなくなったという事実について、彼らに全面的な責任があるとは言いませんが、私は彼らが言った内容を削除させるためにあらゆる努力をしたと言っているのです。そうなるだろうが、決してうまくいかなかった。」

実はそれは判決文の別の場所で出てきました…38ページあるのでかなり長いですが、非常に読みやすく、読む価値は十分にあると思います。

注目すべきは、裁判官が被告に対し、被告が著作権侵害者に対してあまり厳しくしたくないと認めたという事実に対して責任を負わなければならないと述べたことである。 「成長は主に侵害に基づいています。」

そして彼はまた、基本的に同じファイルをダウンロードするための複数の URL が存在する場合に、彼らが削除システムを考案したことにも言及しました。

…彼らはファイルのコピーを XNUMX つ保管しており、URL について苦情を申し立てたら、*その URL* を削除するでしょう。

---

ダグ。  ああ！

---

アヒル。  つまり、ファイルを削除したと思っても、ファイルはそこに残されたままになるのです。

そして彼はそれを次のように説明しました。 「あなたは、削除が実質的な影響を及ぼさないことを知っていましたし、意図していました。」

これはまさにこのインディーズキウイソフトウェア開発者が法廷での陳述で主張したことだ。

そして彼らは確かにそれで大金を稼いだに違いない。

2012 年に物議を醸したキム・ドットコム襲撃の写真を見てみると…

…彼は莫大な財産を持っていて、奇妙なナンバープレート[車両タグ]が付いたフラッシュカーがすべてありました。 GOD および GUILTY、まるで何かを期待していたかのように。 [笑い]

ドットコム氏の保釈申請でメガアップロード削除が見出しと波紋を起こす

そのため、キム・ドットコムは依然として彼の引き渡しを求めて戦っているが、他のXNUMX人はすべてを終わらせたいと決意した。

そこで彼らは有罪を認め、我々のコメント投稿者の何人かがNaked Securityで指摘したように、「なんと、判決文を詳しく読んでみると彼らがやったように見えるのに、確かに彼らの量刑は軽いようだ」。

しかし、裁判官はその計算方法から、アオテアロア法に基づいて彼らが受けるべき刑期は最長で約10年になるはずだと考えたという。

そして彼は、彼らが有罪を認めていること、協力するつもりであること、10万ドルを返済するつもりであることなどを踏まえて、75%割引になるはずだと考えました。

そして私の理解では、それは彼らが米国に引き渡されるのではないかというこの恐怖を解消するということです。私の理解では、司法省は「分かった、有罪判決と量刑は別の国で行わせることにする」と言ったと理解しているからです。 」

あれからXNUMX年以上経ちましたが、まだ終わっていません！

言ったほうがいいよ、ダグ…

---

ダグ。  イェス！

今後も注目していきます。

ありがとう; 次へ移りましょう。

ASUS ルーターをお持ちの場合は、いくつかのパッチを適用する必要があるかもしれませんが、いくつかのかなり危険な脆弱性のタイムラインは非常に曖昧です、ポール。

ASUS、ルーターの顧客に警告: 今すぐパッチを適用するか、すべての受信リクエストをブロックする

---

アヒル。  はい、アドバイザリーに記載されているルーターのさまざまなモデルに対してこれらのパッチがいつ公開されたのかは、信じられないほど明確ではありません。

読者の中にはこう言う人もいます。 私はそれらのルーターの XNUMX つを持っていて、リストに載っていますが、*現在* パッチはありません。 しかし、少し前にこれらの問題を修正するパッチをいくつか入手したのですが…それでは、なぜ*今*勧告が行われたのでしょうか?」

そして答えは「分かりません」です。

おそらく、ASUS がこれらの犯罪者が利用していることを発見したこと以外はあるでしょうか?

しかし、それは単に「パッチを適用することをお勧めします」というだけではありません。

パッチを適用する必要があると言っていますが、パッチを適用する気がない場合、または実行できない場合は、私たちが行います。 「望ましくない侵入の可能性を避けるために、ルーターの WAN 側からアクセスできるサービスを無効にすることを強くお勧めします (これは基本的に『もっと良かった』という意味です)。」

そしてそれは、「管理インターフェイスがインターネット上に表示されないように注意してください」というよくある警告ではありません。

彼らは、受信リクエストをブロックするということは、ルーターが外部からネットワーク接続を開始することを受け入れることに関係する「すべて」を基本的にオフにする必要があることを指摘しています…

…リモート管理、ポート転送 (ゲームに使用すると不運です)、ダイナミック DNS、VPN サーバー、およびポート トリガーと呼ばれるもの (ポート ノッキングだと思います) が含まれます。これは、特定の接続を待機し、接続が確立されたときにのみ実行されます。その接続を確認してから、ローカルでサービスを起動します。

したがって、ここで危険なのは Web リクエストだけではありません。また、秘密のユーザー名でログインできるバグが存在する可能性もあります。

これはさまざまな種類のネットワーク トラフィックであり、外部からルーターに到達できれば、ルーターに悪影響を与える可能性があるようです。

したがって、それは非常に緊急に聞こえます。

---

ダグ。  ここでの XNUMX つの主な脆弱性は…

…国家脆弱性データベース (NVD) があり、脆弱性を 9.8 から 10 のスケールでスコア付けしており、どちらも XNUMX/XNUMX です。

そして、他にも 7.5、8.1、8.8 など、かなり危険なものがたくさんあります。 ポール。

---

アヒル。  はい。

すべて大文字の「9.8 CRITICAL」は、[ささやき声]、「もし犯罪者がこれを把握したら、発疹のように大騒ぎするだろう」という意味のようなものです。

そして、おそらくこれら 9.8 つの悪さスコア 10/2022 の脆弱性で最も奇妙なのは、そのうちの 26376 つが CVE-XNUMX-XNUMX であることです。これは HTTP アンエスケープのバグです。これは基本的に、URL に次のようなおかしな文字が含まれている場合に起こります。スペース…

…法的には URL にスペースを含めることはできません。 あなたは置かなければなりません %20 代わりに、その XNUMX 進コードです。

これは、ルーター上であらゆる種類の URL を処理するための非常に基本的なことです。

それは、数字からもわかるように、2022 年に明らかになったバグでした。

そして、いわゆる Netatalk プロトコル (Apple コンピューターのサポートを提供する) にはもう 2018 つの脆弱性、Doug、CVE-1160-XNUMX があります。

---

ダグ。  それはずっと前だった！

---

アヒル。  そうだった！

実際には、これは Netatalk のバージョン (3.1.12 年 20 月 2018 日にリリースされたバージョン XNUMX だったと思います) で修正されました。

そして、現時点では「Netatalk の新しいバージョンを入手する必要がある」ことについて警告しているだけです。これも、不正なパケットを介して悪用される可能性があるためです。

したがって、Mac は必要ありません。 Apple ソフトウェアは必要ありません。

Netatalk を危険な方法で通信するものが必要なだけで、任意のメモリ書き込みアクセスを与えることができます。

バグ スコアが 9.8/10 ということは、「リモートの部外者が XNUMX つまたは XNUMX つのネットワーク パケットに侵入し、ルート レベルのアクセスでルーターを完全に乗っ取り、リモートでコードが実行される恐怖!」を意味すると想定する必要があります。

では、なぜ彼らは、この XNUMX 年前のバグを修正する必要があると人々に警告するのに、それほど長い時間がかかったのでしょう...

…そして、なぜ実際に XNUMX 年前のバグを XNUMX 年前に修正しなかったのかは説明されていません。

---

ダグ。  確認すべきルーターのリストがあり、パッチを適用できない場合は、「すべての受信データをブロックする」ことをすべて行う必要があります。

しかし、私たちのアドバイスはパッチだと思います。

そして私のお気に入りのアドバイス: あなたがプログラマーなら、入力をサニタイズしてください。

---

アヒル。  はい、リトル・ボビー・テーブルズがまた登場しました、ダグ。

9.8 レベルではなかった他のバグ (これは 7/10 または 8/10 レベルでした) の 2023 つが CVE-28702-XNUMX だったためです。

これは基本的に MOVEit タイプのバグの繰り返しです。 Web URL 入力内のフィルタされていない特殊文字により、コマンド インジェクションが発生する可能性があります。

したがって、これはサイバー犯罪者にとって非常に広範な手段のように思えます。

そして、私の注意を引いた CVE-2023-31195 がありました。 セッションハイジャック.

プログラマは、本質的に認証トークン Cookie に相当するものを設定していました。これらのマジック文字列は、ブラウザが将来のリクエストでフィードバックできる場合、セッションの早い段階でユーザーがログインし、正しいユーザー名と正しいパスワードを持っていたことをサーバーに証明します。 、適切な 2FA コードなど何でも。

そして今、彼らはこの魔法の「アクセスカード」を持ってきています。

したがって、暗号化されていない HTTP リクエストでクッキーが送信されないようにするために、クッキーを設定するときにそれらのクッキーにタグを付ける必要があります。

そうすれば、犯罪者による乗っ取りがはるかに困難になります…そして彼らはそれを忘れていました!

つまり、プログラマにとっては別のことです。 本当に重要な Cookie (個人情報や認証情報が含まれる Cookie) の設定方法を確認し、不用意に簡単に公開される可能性のある Cookie を放置していないことを確認してください。

---

ダグ。  私はこれを（私のより良い判断に反してですが、これまでの XNUMX つの記事のうちの XNUMX つ目です）注目し続ける記事としてマークしておきます。

---

アヒル。  あなたの言うことは正しいと思います、ダグ、理由はよくわかりませんが、一部のルータではこれらのパッチがすでに (たとえあなたが望んでいたよりも遅かったとはいえ) 公開されていたことを考えると、なぜ *今* なのですか?

そして、物語のその部分はまだ明らかになる必要があるかもしれないと思います。

---

ダグ。  このMOVEitのストーリーからは絶対に目が離せないことが分かりました。

それで、今週は何がありますか、ポール？

MOVEit 混乱 3: 「HTTP および HTTPS トラフィックを直ちに無効にする」

---

アヒル。  さて、Progress Software にとって悲しいことに、いわば XNUMX 台目のバスがすぐにやって来ました。 [笑い]

要約すると、最初のエラーは CVE-2023-34362 で、Progress Software が「なんと！」と言ったときのことです。 ゼロデイというのがあります - 私たちはこれについて本当に知りませんでした。 それは SQL インジェクション、つまりコマンド インジェクションの問題です。 これがパッチです。 しかし、これはゼロデイであり、ランサムウェア犯罪者や恐喝犯罪者がこれを積極的に悪用していたために、私たちがこのことに気づきました。 以下に、侵害の兆候 [IoC] をいくつか示します。」

そのため、彼らは問題があるとわかったら、できるだけ早く正しいことをすべて行いました。

それから彼らは自分たちのコードを見直して、「プログラマーが一か所で間違いを犯したとしたら、コードの他の部分でも同様の間違いを犯したかもしれない」と考えました。

そして、それが CVE-2023-35036 につながり、オリジナルの穴と同様の穴に積極的にパッチを当てましたが、知っている限りでは、彼らが最初に穴を発見しました。

そしてなんと、XNUMX 番目の脆弱性が存在しました。

これは CVE-2023-35708 で、これを発見した人は、Progress Software が責任ある情報開示と迅速な対応を全面的に受け入れていることを十分に承知していたようです…

…とにかく上場することにしました。

したがって、それを「完全な開示」 (これが正式な名前だと思います) と呼ぶのか、「無責任な開示」 (ソフォスのほかの人がそのように呼んでいると聞いたことがあります) または「ドロップ」と呼ぶのかはわかりません。楽しむ0day』、そんなふうに思っています。

それで、それは少し残念でした。

そこで Progress Software はこう言いました。 私たちはそれについて知りませんでした。 私たちはパッチに取り組んでいます。 この短い暫定期間では、Web インターフェイスをオフにして (面倒なことは承知しています)、パッチのテストを終了させて​​ください。」

そして約 XNUMX 日以内に、彼らはこう言いました。「よし、これがパッチだ。さあ、適用する。 その後、必要に応じて Web インターフェイスをオンに戻すことができます。」

ということで、全体的に見て、そもそもバグを抱えている Progress Software の評判は悪いとは思いますが…

…もしこれがあなたに起こったら、彼らのような反応に従うのは、私の意見では、とても陽気でまともな方法です。

---

ダグ。  はい、この記事に関する今週のコメントも含め、私たちは Progress Software を称賛しています。

アダムは次のようにコメントしています。

最近の MOVEit は大変なようですが、彼らの迅速かつ積極的な、そして明らかに誠実な仕事に拍手を送ります。

理論的には、彼らはこれをすべて沈黙させようとしたかもしれないが、その代わりに、彼らは問題とそれに対して何をする必要があるかについてかなり率直に述べた。

少なくとも、私の目には彼らがより信頼できるように見えます...

…そして、それは他の人たちにも共有される感情だと思います、ポール。

---

アヒル。  その通り。

私たちのソーシャル メディア チャネルでも同じことを聞いています。バグがあったのは残念であり、誰もが起こらないことを望んでいますが、それでも会社を信頼する傾向があるということです。

実際、彼らは危機に際しても冷静でいられると考えているため、以前よりも会社を信頼する傾向にあるのかもしれません。

---

ダグ。  非常に良い。

わかりました、送ってくれてありがとう、アダム。

投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。

ヒント@sophos.comに電子メールを送信するか、当社の記事のいずれかにコメントするか、またはソーシャルで私たちに連絡することができます：@nakedsecurity。

それが今日の私たちのショーです。 聞いてくれてありがとう。

ポール・ダックリンの場合、私はダグ・アーモスです。次回まで…

---

どちらも。  安全を確保してください！

【ミュージックモデム】