Written by
on October 17, 2020

Issue 2

🗞️ Article
🧰 Tools
- Hashicorp Boundary
- hashicorp/vault-lambda-extension
💣 CVE
- CVE-2020-16120 - incorrect unprivileged overlayfs permission checking
- CVE-2020-8563 ~ 8566 - Kubernetes でログに secret が表示される複数の脆弱性
💰 BugBounty

🗞️ Article

Edge のセキュリティリサーチブログ

https://microsoftedge.github.io/edgevr/posts/Introducing-Edge-Vulnerability-Research/

Edge や Chromium ベースのブラウザに関する脆弱性や攻撃手法を今後紹介していく模様。

チーム内で見つけたChromiumの脆弱性やその発見手法、そして脆弱性の緩和策などについて公開していく予定す！
— Jun Kokatsu (@shhnjk) October 16, 2020

CVE-2020-25779: Punycode を使った Web Threat Protection のバイパス

https://www.inputzero.io/2020/08/bypass-trend-micro-web-threat-protection.html

Trend Micro の Web Threat Protection を Punycode でバイパスする方法。
Web Threat Protection は安全な Web サイトかどうかをチェックし、結果に応じてアクセスを拒否させたりできるアンチウィルスソフトの機能。
これに対して google.com を Punycode で表現したドメインである http://xn--ggle-55da.com/ にアクセスすると google.com として認識し、安全なサイトと判断していた模様。

HackerOne への Credential Stuffing 攻撃

https://hackerone.com/reports/1007689

¹⁰⁄₄~¹⁰⁄₅ の間に HackerOne に対して Credential Stuffing 攻撃があった。
調査の結果、脆弱性レポートへのアクセスは確認されていないが、アカウントへのアクセスがされた者には通知を行い、ロックをしている。

HackerOne は認証試行を検出する仕組みを持っているが、攻撃が始まってから四日間気づかなかった。HackerOne ではアラートの確認を毎週行っており、その監査中に攻撃を確認したとのこと。
パスワードを固定してユーザー名をブルートフォースする方法で試行され、接続も Tor 経由であったため IP アドレスが変化していたため、アラートが上がらなかった模様。
これの対策として接続元やアカウントに関係なく、ログイン試行が大量に行われていることを検知するアラートを実装している。

Firebase のセキュリティの考察

https://www.sans.org/reading-room/whitepapers/cloud/paper/39885

Firebase の設定ミスによる脆弱性の解説。HospritalGown などの過去事例を紹介しながら、なぜ Information Leak が生じるかを解説。設定ミスがあると Firebase のエンドポイント https://\$ENDPOINT/.json にアクセスすることで、データにアクセスできてしまう。

Chrome 86 で Mixed Contents な画像を自動アップグレードするように

https://www.chromestatus.com/feature/4926989725073408

M86 から Mixed Contents であるページで画像リソースを自動で https:// の方を読み込むようになった。
この実装は M81 で予定されていたが、延期されていた。

Zero Touch Production とは何か

https://deeeet.com/writing/2020/10/15/zero-touch-production/

Zero Touch Production (ZTP) に関する解説。ZTP 以前の問題点を挙げ、なぜ ZTP が必要とされているかを述べ、Google や Lyft などでの ZTP の事例を紹介されている。
Hashicorp Boundary も ZTP を実現するものだろう。

Dockerfile Security Best Practices

Dokerfile のセキュリティ的観点でのベストプラクティスについて。また、このルールに従っていないイメージを検知する conftest rule を実装されている。

Kubernetes AWS IAM Authenticator の問題

https://bugs.chromium.org/p/project-zero/issues/detail?id=2066

AWS の IAM を利用して Kubernetes クラスタに認証する https://github.com/kubernetes-sigs/aws-iam-authenticator/ の潜在的なセキュリティ問題についてのレポート。
STS サーバーの検証の不備やリダイレクト周りなど 4 つの問題を指摘している。

🧰 Tools

Hashicorp Boundary

https://www.boundaryproject.io/

Bastion や VPN の代わりに IdP などを利用して認証/認可を行い、任意のリソースにアクセスできるツール。
現在は SSH の他に DB プロトコルや RDP などに対応。また、TCP を使う任意のツール、例えば curl なども利用できる。
今後の Roadmap として OIDC を利用した認証や Vault を使った資格情報の提供、動的なインフラを考慮した接続先の自動的な発見などが挙げられている。

hashicorp/vault-lambda-extension

https://github.com/hashicorp/vault-lambda-extension

Vault の AWS Lambda Extension. Lamba 関数の実行前に Vault から Secret を読み込めたりする。

💣 CVE

CVE-2020-16120 - incorrect unprivileged overlayfs permission checking

https://www.openwall.com/lists/oss-security/2020/10/13/6

overlayfs のファイルコピー時の権限チェック不備に関する脆弱性。攻撃者は user namespace からアクセス許可されていないファイルへアクセスすることが可能。
これは unprivileged username space が有効になっている場合でのみ影響がある。Ubuntu / Debian ではデフォルトで有効になっている。

CVE-2020-8563 ~ 8566 - Kubernetes でログに secret が表示される複数の脆弱性

https://groups.google.com/u/2/g/kubernetes-announce/c/ScdmyORnPDk/m/d5FAjR4pAwAJ

Kubernetes で秘匿情報がログに記録されるバグが複数あった。

CVE-2020-8563: Secret leaks in logs for vSphere Provider kube-controller-manager
CVE-2020-8564: Docker config secrets leaked when file is malformed and loglevel >= 4
CVE-2020-8565: Incomplete fix for CVE-2019-11250 allows for token leak in logs when logLevel >= 9
CVE-2020-8566: Ceph RBD adminSecrets exposed in logs when loglevel >= 4

💰 BugBounty

GPS ナビである Waze で他ユーザーを特定できた問題
- ユーザーにはランダムで ID が振られていたが、一定期間が経過しても変更されていなかったため、リアルタイムに追跡できた
- 特定の操作をすると API レスポンスにユーザー名が含まれていた
- https://www.malgregator.com/post/waze-how-i-tracked-your-mother/

← → Top