-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2018-3501 JPCERT/CC 2018-09-12 <<< JPCERT/CC WEEKLY REPORT 2018-09-12 >>> ―――――――――――――――――――――――――――――――――――――― ■09/02(日)〜09/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Chrome に複数の脆弱性 【2】Mozilla Firefox に複数の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】複数の VMware 製品に脆弱性 【5】LAN における DNS 動的登録・更新および、機器の自動検出機能に複数の問題 【6】INplc に複数の脆弱性 【今週のひとくちメモ】Sysmon ログを可視化して端末の不審な挙動を調査する SysmonSearch を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr183501.html https://www.jpcert.or.jp/wr/2018/wr183501.xml ============================================================================ 【1】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Update for Chrome https://www.us-cert.gov/ncas/current-activity/2018/09/04/Google-Releases-Security-Update-Chrome 概要 Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 69.0.3497.81 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop.html 【2】Mozilla Firefox に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox https://www.us-cert.gov/ncas/current-activity/2018/09/05/Mozilla-Releases-Security-Updates-Firefox 概要 Mozilla Firefox には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Mozilla Firefox 62 より前のバージョン - Mozilla Firefox ESR 60.2 より前のバージョン この問題は、Mozilla Firefox を Mozilla が提供する修正済みのバージョン に更新することで解決します。詳細は、Mozilla が提供する情報を参照してく ださい。 関連文書 (英語) Mozilla Security vulnerabilities fixed in Firefox 62 https://www.mozilla.org/en-US/security/advisories/mfsa2018-20/ Mozilla Security vulnerabilities fixed in Firefox ESR 60.2 https://www.mozilla.org/en-US/security/advisories/mfsa2018-21/ 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/09/05/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな どの可能性があります。 対象となる製品は次のとおりです。 - Cisco Umbrella - Cisco Umbrella Enterprise Roaming Client - Cisco Umbrella Roaming Module - Cisco RV110W Wireless-N VPN Firewall - Cisco RV130W Wireless-N Multifunction VPN Router - Cisco RV215W Wireless-N VPN Router - Cisco Webex Meetings Suite (WBS31) - Cisco Webex Meetings Suite (WBS32) - Cisco Webex Meetings Suite (WBS33) - Cisco Webex Meetings - Cisco Webex Meetings Server - Cisco Webex Teams - Cisco Webex Player - vEdge 100 Series Routers - vEdge 1000 Series Routers - vEdge 2000 Series Routers - vEdge 5000 Series Routers - vEdge Cloud Router Platform - vManage Network Management System - vSmart Controller Software - vBond Orchestrator Software - Cisco Prime Access Registrar - Cisco Prime Access Registrar Jumpstart - Cisco Prime Collaboration Assurance - Cisco IMC Software が稼働している UCS C-Series Servers - Cisco IMC Software が稼働している UCS E-Series Servers - Cisco IMC Software が稼働している 5000 Series Enterprise Network Compute System (ENCS) Platforms - Cisco Data Center Network Manager - Cisco Tetration Analytics - Cisco Packaged Contact Center Enterprise - Cisco Network Services Orchestrator - Cisco Enterprise NFV Infrastructure Software - Cisco Meeting Server - Cisco Email Security Appliance - Cisco Cloud Services Platform 2100 - Cisco Secure Access Control Server この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Umbrella API Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-umbrella-api Cisco Security Advisory Cisco RV110W, RV130W, and RV215W Routers Management Interface Buffer Overflow Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-overflow Cisco Security Advisory Cisco Webex Meetings Client for Windows Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-webex-pe Cisco Security Advisory Cisco Webex Teams Information Disclosure and Modification Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-webex-id-mod Cisco Security Advisory Cisco Umbrella Enterprise Roaming Client and Enterprise Roaming Module Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-umbrella-priv Cisco Security Advisory Cisco Umbrella Enterprise Roaming Client Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-umbrella-file-read Cisco Security Advisory Cisco SD-WAN Solution Certificate Validation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-sd-wan-validation Cisco Security Advisory Cisco SD-WAN Solution Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-sd-wan-injection Cisco Security Advisory Cisco SD-WAN Solution Privilege Escalation Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-sd-wan-escalation Cisco Security Advisory Cisco RV110W, RV130W, and RV215W Routers Management Interface Directory Traversal Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-traversal Cisco Security Advisory Cisco RV110W, RV130W, and RV215W Routers Management Interface Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-injection Cisco Security Advisory Cisco RV110W, RV130W, and RV215W Routers Management Interface Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-disclosure Cisco Security Advisory Cisco Prime Access Registrar Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-cpar-dos Cisco Security Advisory Cisco Integrated Management Controller Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-cimc-injection Cisco Security Advisory Cisco Data Center Network Manager Privilege Escalation to Underlying Operating System Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-cdcnm-escalation Cisco Security Advisory Cisco Webex Player WRF Files Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-webex-player-dos Cisco Security Advisory Cisco Tetration Analytics Cross-Site Scripting Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-tetration-xss Cisco Security Advisory Cisco Tetration Analytics Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-tetration-vulns Cisco Security Advisory Multiple Vulnerabilities in Cisco Packaged Contact Center Enterprise https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-pcce Cisco Security Advisory Cisco Prime Collaboration Assurance Cross-Site Scripting Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-pca-xss Cisco Security Advisory Cisco Network Services Orchestrator Network Plug and Play Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-nso-infodis Cisco Security Advisory Cisco Enterprise NFV Infrastructure Software Information Disclosure Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-nfvis-infodis Cisco Security Advisory Cisco Enterprise NFV Infrastructure Software Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-nfvis-dos1 Cisco Security Advisory Cisco Enterprise NFV Infrastructure Software Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-nfvis-dos Cisco Security Advisory Cisco Meeting Server Cross-Site Request Forgery Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-meeting-csrf Cisco Security Advisory Cisco Email Security Appliance URL Filtering Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-esa-url-bypass Cisco Security Advisory Cisco Data Center Network Manager Cross-Site Scripting Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-dcnm-xss Cisco Security Advisory Cisco Cloud Services Platform 2100 Command Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-csp2100-injection Cisco Security Advisory Cisco Secure Access Control Server XML External Entity Injection Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-acsxxe 【4】複数の VMware 製品に脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2018/09/06/VMware-Releases-Security-Updates 概要 複数の VMware 製品には、脆弱性があります。結果として、第三者が機微な情 報を取得する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - VMware AirWatch Agent 5.8.1 より前のバージョン (iOS 版) - VMware Content Locker 4.14 より前のバージョン (iOS 版) この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細は、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2018-0023 https://www.vmware.com/security/advisories/VMSA-2018-0023.html 【5】LAN における DNS 動的登録・更新および、機器の自動検出機能に複数の問題 情報源 CERT/CC Vulnerability Note VU#598349 Automatic DNS registration and proxy autodiscovery allow spoofing of network services https://www.kb.cert.org/vuls/id/598349 Japan Vulnerability Notes JVNVU#99302544 LAN における DNS 動的登録・更新および、機器の自動検出機能に複数の問題 https://jvn.jp/vu/JVNVU99302544/ 概要 ルータの DNS 動的登録・更新機能が有効になっており、クライアント PC で 自動検出機能が有効になっているネットワークには、複数の問題があります。 結果として、ネットワークにアクセス可能な第三者が、通信内容を取得したり、 改ざんしたりする可能性があります。 対象となるネットワークは次のとおりです。 - ルータの DNS 動的登録・更新機能や、クライアント PC におけるプロキシ自動検出機能が有効になっているネットワーク この問題に対して、製品ベンダなどから対策に関する情報が公表されています。 使用している製品において、修正済みのバージョンが公開されている場合は、 適用することをおすすめします。また、次の回避策を適用することで、本問題 の影響を軽減することが可能です。 - ルータが "wpad" や "isatap" といった特定のホスト名を DNS に自動登録しないように設定する - mDNS を WPAD と組み合わせて用いない 詳細は、製品ベンダなどが提供する情報を参照してください。 関連文書 (英語) Google Project Zero aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript https://googleprojectzero.blogspot.com/2017/12/apacolypse-now-exploiting-windows-10-in_18.html NCSC-FI - FICORA Vulnerabilities in service autodiscovery https://www.viestintavirasto.fi/en/cybersecurity/vulnerabilities/2018/haavoittuvuus-2018-019.html 【6】INplc に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#59624986 INplc における複数の脆弱性 https://jvn.jp/jp/JVN59624986/ 概要 株式会社マイクロネットが提供する INplc には、複数の脆弱性があります。 結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - INplc SDK Express 3.08 およびそれ以前のインストーラ - INplc SDK Pro+ 3.08 およびそれ以前のインストーラ - INplc-RT 3.08 およびそれ以前 この問題は、該当する製品を株式会社マイクロネットが提供する修正済みのバー ジョンに更新するか、最新のインストーラを使用することで解決します。詳細 は、株式会社マイクロネットが提供する情報を参照してください。 関連文書 (日本語) 株式会社マイクロネット INplc製品3.08までの脆弱性に関する情報 http://www.mnc.co.jp/INplc/info_20180907.htm ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Sysmon ログを可視化して端末の不審な挙動を調査する SysmonSearch を公開 2018年9月6日、JPCERT/CC は、Sysmon ログを可視化して端末の不審な挙動を 調査するツール「SysmonSearch」を公開しました。SysmonSearch は、マイク ロソフト社が提供するツール「Sysmon」のログを一元管理し、ログを分析する 機能を複数実装したツールです。Sysmon のログに記録されるプロセスやイベン ト等の関連性が可視化されることで、迅速かつ正確にログを分析できます。ま た、監視ルールを設定し、ヒットした Sysmon のログを確認することで、イン シデントの早期発見にも役立ちます。 SysmonSearch は GitHub で公開していますので、下記の Web ページからダウン ロードしてご利用ください。また、DockerFile も公開しておりますので併せ てご利用ください。 参考文献 (日本語) JPCERT/CC Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06) https://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html 参考文献 (英語) JPCERT/CC JPCERTCC/SysmonSearch https://github.com/JPCERTCC/SysmonSearch JPCERT/CC JPCERTCC/SysmonSearch https://github.com/JPCERTCC/SysmonSearch/wiki ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2018 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJbmFhlAAoJEDF9l6Rp7OBITjoH/RujlxqcbRiIcNona+O7wUbB dkgbiLHcdOSHeTcSV5S7KJIuvu6RIo/Rs8lI5sMi+SDHAYQH8716WQMe/LVsRs4H IE4U8oIpUW0vVWgSi/gEwsO9oASh91E0kUML73yz35KZODMhoOM5L95B6tiiU3hk +tVk1Vwco+akUKCL5ZG2NtyuRM2DlknmQ5b8r4sj/4FaP9BEZoe70CzD+XVypI4q M2mJOZynansEOQ7R1yJDS7Z08DqqGpSctmQzQkhczvOalGwzoN5EnhiWD6GNP8Wu rdNO1sqLwp9reApcUSve95gl4ZRdvqfu/fvKsCK89zJOBU8C+QzQwN1GE4EotS8= =V3ea -----END PGP SIGNATURE-----