-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-3801 JPCERT/CC 2017-10-04 <<< JPCERT/CC WEEKLY REPORT 2017-10-04 >>> ―――――――――――――――――――――――――――――――――――――― ■09/24(日)〜09/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Cisco IOS および Cisco IOS XE ソフトウェアに複数の脆弱性 【2】複数の Apple 製品に脆弱性 【3】Mozilla Firefox に複数の脆弱性 【4】「Apache Struts2 に複数の脆弱性」に関する追加情報 【5】DLL 読み込みに関する脆弱性に注意 【6】jwt-scala にトークン署名検証回避の脆弱性 【7】ICANN がルートゾーン KSK ロールオーバーの延期を発表 【今週のひとくちメモ】マルウェア Datper の痕跡を調査するためのログ分析ツール活用方法 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr173801.html https://www.jpcert.or.jp/wr/2017/wr173801.xml ============================================================================ 【1】Cisco IOS および Cisco IOS XE ソフトウェアに複数の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/09/27/Cisco-Releases-Security-Updates 概要 Cisco IOS および Cisco IOS XE ソフトウェアには、複数の脆弱性があります。 結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となる製品は次のとおりです。 - Cisco IOS ソフトウェア - Cisco IOS XE ソフトウェア この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco IOS and IOS XE Software DHCP Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-dhcp Cisco Security Advisory Cisco IOS XE Software Web UI Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-privesc Cisco Security Advisory Cisco IOS XE Software Web UI REST API Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-restapi Cisco Security Advisory Cisco IOS XE Software for Cisco ASR 1000 Series and cBR-8 Routers Line Card Console Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cc Cisco Security Advisory Cisco IOS Software Common Industrial Protocol Request Denial of Service Vulnerabilities https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cip Cisco Security Advisory Cisco IOS and IOS XE Software Internet Key Exchange Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ike Cisco Security Advisory Cisco IOS XE Wireless Controller Manager Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ios-xe Cisco Security Advisory Cisco IOS XE Software Locator/ID Separation Protocol Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-lisp Cisco Security Advisory Cisco IOS Software Network Address Translation Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-nat Cisco Security Advisory Cisco IOS XE Software for Cisco 5760 WLC, Cisco Catalyst 4500E Supervisor Engine 8-E, and Cisco NGWC 3850 GUI Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-ngwc Cisco Security Advisory Cisco IOS and IOS XE Software Plug-and-Play PKI API Certificate Validation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-pnp Cisco Security Advisory Cisco IOS Software for Cisco Industrial Ethernet Switches PROFINET Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-profinet Cisco Security Advisory Cisco IOS Software for Cisco Integrated Services Routers Generation 2 Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-rbip-dos Cisco Security Advisory Cisco IOS Software for Cisco Catalyst 6800 Series Switches VPLS Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-vpls 【2】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/09/25/Apple-Releases-Security-Updates US-CERT Current Activity Apple Releases Security Update for iOS https://www.us-cert.gov/ncas/current-activity/2017/09/26/Apple-Releases-Security-Update-iOS 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - iCloud for Windows 7.0 より前のバージョン - macOS High Sierra 10.13 より前のバージョン - macOS Server 5.4 より前のバージョン - iOS 11.0.1 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (英語) Apple About the security content of iCloud for Windows 7.0 https://support.apple.com/en-us/HT208142 Apple About the security content of macOS High Sierra 10.13 https://support.apple.com/en-us/HT208144 Apple About the security content of macOS Server 5.4 https://support.apple.com/en-us/HT208102 Apple About the security content of iOS 11.0.1 https://support.apple.com/en-us/HT208143 【3】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/09/28/Mozilla-Releases-Security-Updates 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす るなどの可能性があります。 対象となるバージョンは次のとおりです。 - Mozilla Firefox 56 より前のバージョン - Mozilla Firefox ESR 52.4 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Mozilla Foundation Security Advisories (September 28, 2017) https://www.mozilla.org/en-US/security/advisories/ 【4】「Apache Struts2 に複数の脆弱性」に関する追加情報 情報源 US-CERT Current Activity Oracle Patches Apache Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2017/09/25/Oracle-Patches-Apache-Vulnerabilities 概要 JPCERT/CC WEEKLY REPORT 2017-09-13号【1】で紹介した「Apache Struts2 に 複数の脆弱性」に関する追加情報です。 Oracle から問題を修正したバージョンの Oracle 製品が公開されました。詳 細は、Oracle が提供する情報を参照してください。 関連文書 (英語) Oracle Oracle Security Alert Advisory - CVE-2017-9805 http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-9805-3889403.html 【5】DLL 読み込みに関する脆弱性に注意 情報源 情報処理推進機構 (IPA) 【注意喚起】Windowsアプリケーションの利用における注意 https://www.ipa.go.jp/security/ciadr/vul/20170928_dll.html 概要 2017年9月28日、情報処理推進機構 (IPA) は、「【注意喚起】Windowsアプリ ケーションの利用における注意」を公開しました。この注意喚起は、DLL 読み 込みに関する脆弱性の報告が 2017年4月以降に急増したことを受けて公開され たものです。この脆弱性によって、第三者が任意のコードを実行する可能性が あります。IPA では、次の対策を推奨しています。 - アプリケーションをダウンロードする場合は、ダウンロードフォルダに保存せず、新規にフォルダを作成し、そのフォルダに保存する - 実行するアプリケーションと同一フォルダ内に正規のファイル以外が保存されていないかを確認する 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2017-05-31号【一口メモ】 Windows アプリケーションの DLL 読み込みに関する脆弱性について https://www.jpcert.or.jp/tips/2017/wr172001.html Japan Vulnerability Notes JVNTA#91240916 Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 https://jvn.jp/ta/JVNTA91240916/ 【6】jwt-scala にトークン署名検証回避の脆弱性 情報源 Japan Vulnerability Notes JVNVU#90916766 jwt-scala にトークン署名検証回避の脆弱性 https://jvn.jp/vu/JVNVU90916766/ 概要 jwt-scala には、トークン署名検証回避の脆弱性があります。結果として、遠 隔の第三者が、細工したトークンデータを読み込ませることにより、署名検証 を回避する可能性があります。 対象となるバージョンは次のとおりです。 - jwt-scala 1.2.2 およびそれ以前 この問題は、jwt-scala を really IO が提供する修正済みのバージョンに更 新することで解決します。詳細は、really IO が提供する情報を参照してくだ さい。 関連文書 (英語) really IO JSON Web Token (JWT) Scala implementation https://github.com/reallylabs/jwt-scala 【7】ICANN がルートゾーン KSK ロールオーバーの延期を発表 情報源 ICANN KSK Rollover Postponed https://www.icann.org/news/announcement-2017-09-27-en 概要 2017年9月27日、ICANN は、ルートゾーン KSK ロールオーバーを延期すること を発表しました。延期されるのは、2017年10月11日に開始を予定していた新た な DNSSEC 鍵署名鍵 (KSK) による署名で、理由として、ロールオーバーに対 応する準備ができていないリゾルバが多いことを挙げています。新たな実施時 期はまだ確定していませんが、対応を行っていない DNS サーバおよびネット ワークの管理者は、早急に対策することをお勧めします。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) ICANNが新KSKでの署名開始の延期を発表(2017年9月28日公開) https://jprs.jp/tech/notice/2017-09-28-rootzonekskrollover-postponed.html 一般社団法人日本ネットワークインフォメーションセンター (JPNIC) ICANNがルートゾーンKSKロールオーバーの実施延期を発表 https://www.nic.ad.jp/ja/topics/2017/20170928-01.html JPCERT/CC WEEKLY REPORT 2017-07-26号【一口メモ】 速やかにキャッシュ DNS サーバの設定の見直しを https://www.jpcert.or.jp/tips/2017/wr172801.html 関連文書 (英語) US-CERT Current Activity DNSSEC Key Signing Key Rollover Postponed https://www.us-cert.gov/ncas/current-activity/2017/09/29/DNSSEC-Key-Signing-Key-Rollover-Postponed ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マルウェア Datper の痕跡を調査するためのログ分析ツール活用方法 2017年9月25日、JPCERT/CC は分析センターだより「マルウエアDatperの痕跡 を調査する〜ログ分析ツール(Splunk・Elastic Stack)を活用した調査〜」 を公開しました。今回の記事では、一般的に検知が難しいマルウエア「Datper」 を、Splunk や Elastic Stack を用いてプロキシログから効率的に検知、調査 する方法を紹介しています。過去に遡ったログの調査やログ監視など、皆さま の日々の運用にご活用いただけますと幸いです。 参考文献 (日本語) JPCERT/CC マルウエアDatperの痕跡を調査する〜ログ分析ツール(Splunk・Elastic Stack)を活用した調査〜 (2017-09-25) https://www.jpcert.or.jp/magazine/acreport-search-datper.html 参考文献 (英語) JPCERT/CC Detecting Datper Malware from Proxy Logs http://blog.jpcert.or.jp/2017/09/chase-up-datper-bba7.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZ1CqhAAoJEDF9l6Rp7OBIAdoIAJrWU4580twMzNDxw6g+mgv9 U+WOgLG9bNEFSwNGml0bgbScXZVtCHefLLSnLW7wwNDCq7zZ29USyInwweehea3u olodumacMABm611oU5P0SeOr4cVfnZUrN/qFqEuMs/hLyLduF9TovZLvDBe1Gccs DDWxU8nmKZZeKELU8eJ9wjB9XCwCX692HzUTe1frqLLVf1Z5Zh72SfLEFFf5PY2H eh/QQ0ZTRaPF2daTc9aBNaRCVNFPuvv7/XpBnujFh6oP+LJj14EMPuduXesJ5FD9 d9ozgqXofyFinxhdZRrjgjSmD8qzePA43Xxy9t+wCXNLFAFIwqDTNfBDJFY24qc= =Rtwy -----END PGP SIGNATURE-----