今週気になったIT関連のニュース

2021年9月6日～2021年9月12日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• Azure Container Instancesで脆弱性が見つかった
• WhatsAppのプライバシーの問題
• 87,000台のFortiGate SSL-VPNデバイスのVPNアカウントが公開された
• ロシア最大の銀行がDDoS攻撃の被害にあった
• 最後に

Azure Container Instancesで脆弱性が見つかった

What

• Azure Container Instancesに脆弱性が見つかった。
  • Azure Container Instancesは、ユーザーが仮想マシン、クラスター、またはオーケストレーターを使用せずに、サーバーレスクラウド環境でDockerコンテナーを直接実行できるようにするマネージドサービス。
  • 今回修正された脆弱性は他のサービス利用者のコンテナにアクセスし、悪意あるコマンドを実行したり、コンテナに含まれる情報の取得、コンテナイメージの取得ができる。
• Microsoftから、「2021年8月31日より前にコンテナに含まれた特権情報がある場合はその情報を無効にする」よう発表されている。
  • ということは、実際にこの脆弱性が悪用された可能性があるということだろう。
• この脆弱性はACIで利用されていた古いコンテナランタイムに存在する脆弱性を使っているらしい。
  • CVE-2019-5736と同様の技術を使って、自身のコンテナの外にアクセスする。
• この攻撃は「Azurescape」と命名されている。
• Azurescapeでは、悪意のあるユーザーが、ACIをホストするマルチテナントのKubernetesクラスタを侵害し、他のユーザーのコンテナを完全に制御することができる。
• 悪意のあるAzureの顧客が自分のコンテナからエスケープし、特権的なKubernetesサービスアカウントトークンを取得してKubernetes api-serverを乗っ取ることで、マルチテナントクラスタとその中で実行されているすべての顧客のコンテナを完全に制御できる。
  • 脆弱性の詳細はこちら。
  • Finding Azurescape – Cross-Account Container Takeover in Azure Container Instances

When

• 2021年9月8日：MicrosoftはAzure Container Instancesの脆弱性を修正したことを発表した

関連記事

• Microsoft Warns of Cross-Account Takeover Bug in Azure Container Instances
• Finding Azurescape – Cross-Account Container Takeover in Azure Container Instances
• What You Need to Know About Azurescape

WhatsAppのプライバシーの問題

What

• WhatsAppではend to endの暗号化を提供しているが例外がある、という話。
• ユーザはメッセージに違反のフラグをたてることができる。
  • 違反のフラグを立てられた記事は、別のメッセージとしてFacebookに送信され、AIと担当者のチェックを受けるらしい。
  • 法執行機関やFacebookはメッセージに付随するメタデータにはアクセスすることができる。
• 「完全に野放しでサービス提供するのも無責任なので、これくらいのチェック体制は妥当なところなのかな」という気がする。
  • 日本のChatworkとかはどのようなポリシーになっているんだろう？
  • そもそも会社が組織単位で使うことを想定しているので、end to endの暗号化は実施されていないのかな。
  • end to endではない模様。
  • Chatwork Help よくある質問 通信は暗号化されますか？

関連記事

• WhatsApp “end-to-end encrypted” messages aren’t that private after all | Ars Technica

87,000台のFortiGate SSL-VPNデバイスのVPNアカウントが公開された

What

• 87,000台のFortiGate SSL-VPNデバイスに関連付けられたVPNログイン名とパスワードのリストがロシア語のフォーラムで無料で公開された。
  • リストにはインド、台湾、イタリア、フランス、イスラエルを含む74か国の情報が含まれる。
  • 日本が含まれているかどうかは不明。
• この情報はCVE-2018-13379を悪用して取得された。
  • CVE-2018-13379はパストラバーサルの脆弱性で、認証されていない攻撃者がIDパスワードを含む任意のファイルを読み取ることができる。
  • 2021年はじめにオーストラリア、英国、米国の諜報機関がまとめたリストによるとCVE-2018-13379は2020年に最も悪用された脆弱性のの1つらしい。
  • Top 30 Critical Security Vulnerabilities Most Exploited by Hackers

When

• 2019年5月：CVE-2018-13379が修正される。（CVEに含まれる年情報とずれている気がするが？）
  • このバグは複数回攻撃と修正が繰り返されたらしいので、その影響かもしれない。
• 2021年9月8日：Fortinetがロシア後のフォーラムで情報が公開されているという声明を発表

関連記事

• Hackers Leak VPN Account Passwords From 87,000 Fortinet FortiGate Devices
• Top 30 Critical Security Vulnerabilities Most Exploited by Hackers

ロシア最大の銀行がDDoS攻撃の被害にあった

What

• ロシア最大の銀行がDDoS攻撃で一時サービスが停止した。
• 金融機関のサービスが停止してしまうのは影響が大きい。
  • 日本では銀行に対するDDoS攻撃のニュースはあまり耳にしないが、これから増えてくるのかもしれない。

When

• 2021年9月2日深夜：DDoS攻撃発生

関連記事

• The largest banks in Russia were subjected to a large-scale DDoS attack - E Hacking News - Latest Hacker News and IT Security News

最後に

WhatsApp以外のend to endを謳っているメッセージングサービスは違反への対応はどうしてるんだろう？

調べてみよう。