Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性が見つかってからパッチとSecurity Bulletinが作られるまで

脆弱性が見つかってからパッチとSecurity Bulletinが作られるまで

アプリケーションサーバー製品のPSIRTチームの一員として、脆弱性対応をした経験をシェアさせていただいています。

Hiroko Takamiya

June 04, 2023
Tweet

More Decks by Hiroko Takamiya

Other Decks in Technology

Transcript

  1. JJUG Spring 2023
    脆弱性がみつかってから
    パッチとSecurity Bulletinが
    作られるまで
    高宮 裕子(@htakamiy)
    E-mail ↗
    Twitter ↗

    View Slide

  2. With you today
    高宮 裕子
    IBM WebSphere Security Development
    Open Liberty Security Development
    Product Security Incident Response Team
    • 米ノースカロライナ州のIBMに勤務
    • アプリケーション・ランタイム製品のセキュリティ開発部門に所属
    • 2020年3月よりPSIRTチーム一員として脆弱性対応に従事
    • 東京生まれ、東京育ち
    • JJUG CCC Fall 2022から参加
    JJUG CCC 2023 Spring

    View Slide

  3. PSIRT (Product Security Incident Response Team)とは?
    JJUG CCC 2023 Spring
    自社製品の脆弱性対応をするチーム
    主な業務
    • ステークホルダーとの連携
    • 脆弱性関連情報の収集
    • インシデント発生の対策
    • 24時間体制で脆弱性レポートをモニター
    マネジメント・リーガル 情報収集 パッチとBulletin作成

    View Slide

  4. なぜJJUGで脆弱性のトーク?
    脆弱性発見 パッチ作成
    Security Bulletin掲載
    パッチ適用
    品質担保
    JJUG CCC 2023 Spring
    コンテナ技術利用
    自動テスト
    システム無停止
    脆弱性対応を支える技術
    梶紳之介さん
    (JJUG CCC 2022 Fall)
    オープンソース・コミュニティ
    お客様の報告
    FVT, SVTテスト
    Penetration Test
    Vulnerability Scan
    Application Security Scan
    Ethical Hackers
    Third Party Security Entities
    1 2 3
    今日のトーク
    JJUG CCC 2022 Fall まとめブログ by YujiSoftware(@YujiSoftware)
    JJUG CCC 2022 Fall YouTubeチャンネル

    View Slide

  5. 今日お話しすること
    脆弱性の評価 パッチ作成
    Bulletin作成 PSIRTで学んだこと セキュリティ強化の
    取り組み
    トレンド・まとめ
    JJUG CCC 2023 Spring

    View Slide

  6. @2022 IBM Corporation
    IBM Automation Software
    脆弱性の評価
    6
    CVEID: CVE-2020-4276
    DESCRIPTION: IBM WebSphere Application Server 7.0, 8.0, 8.5, and 9.0
    traditional is vulnerable to a privilege escalation vulnerability when using
    token-based authentication in an admin request over the SOAP connector.
    X-Force ID: 175984.
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
    説明をどう書いている?
    スコアはどうやってつけているの?
    ベクターって何?

    View Slide

  7. @2022 IBM Corporation
    IBM Automation Software
    脆弱性の評価
    7
    再現 レポート通りに再現するか?
    評価
    脆弱性を認めるのは製品オーナー
    • Review Board (ミーティング)
    • CVSSスコアのための質問
    • Bulletin内容検討
    CVE
    CVSS
    会社のセキュリティ部門から
    CVE IDとCVSSスコアを取得
    • OSSのスコアはそのまま使う
    • 自社コードのスコアは経験則で
    CVE: Common Vulnerability Exposure
    脆弱性に割り振られるID
    MITRE Corporation(米連邦政府非営利組織)
    CVSS:Common Vulnerability Scoring System
    脆弱性のスコア

    View Slide

  8. @2022 IBM Corporation
    IBM Automation Software
    CVEID & CVSSスコアとベクター
    ◼ Access Vector (AV)
    – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical
    ◼ Access Complexity (AC)
    – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High)
    ◼ Privileges Required (PR)
    – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High
    ◼ User Interaction (UI)
    – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど
    ◼ Scope
    – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed)
    ◼ Impact (Confidentiality, Integrity, Availability)
    – None/Low/High
    8
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
    ネットワーク経由で悪用できる

    View Slide

  9. @2022 IBM Corporation
    IBM Automation Software
    CVEID & CVSSスコアとベクター
    ◼ Access Vector (AV)
    – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical
    ◼ Access Complexity (AC)
    – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High)
    ◼ Privileges Required (PR)
    – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High
    ◼ User Interaction (UI)
    – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど
    ◼ Scope
    – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed)
    ◼ Impact (Confidentiality, Integrity, Availability)
    – None/Low/High
    9
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
    悪用には複雑な手順がいる

    View Slide

  10. @2022 IBM Corporation
    IBM Automation Software
    CVEID & CVSSスコアとベクター
    ◼ Access Vector (AV)
    – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical
    ◼ Access Complexity (AC)
    – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High)
    ◼ Privileges Required (PR)
    – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High
    ◼ User Interaction (UI)
    – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど
    ◼ Scope
    – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed)
    ◼ Impact (Confidentiality, Integrity, Availability)
    – None/Low/High
    10
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
    管理者でなくてもよい

    View Slide

  11. @2022 IBM Corporation
    IBM Automation Software
    CVEID & CVSSスコアとベクター
    ◼ Access Vector (AV)
    – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical
    ◼ Access Complexity (AC)
    – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High)
    ◼ Privileges Required (PR)
    – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High
    ◼ User Interaction (UI)
    – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど
    ◼ Scope
    – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed)
    ◼ Impact (Confidentiality, Integrity, Availability)
    – None/Low/High
    11
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
    ユーザーの介入不要

    View Slide

  12. @2022 IBM Corporation
    IBM Automation Software
    CVEID & CVSSスコアとベクター
    ◼ Access Vector (AV)
    – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical
    ◼ Access Complexity (AC)
    – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High)
    ◼ Privileges Required (PR)
    – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High
    ◼ User Interaction (UI)
    – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど
    ◼ Scope
    – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed)
    ◼ Impact (Confidentiality, Integrity, Availability)
    – None/Low/High
    12
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
    他のコンポーネントにまで影響がでるか

    View Slide

  13. @2022 IBM Corporation
    IBM Automation Software
    CVEID & CVSSスコアとベクター
    ◼ Access Vector (AV)
    – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical
    ◼ Access Complexity (AC)
    – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High)
    ◼ Privileges Required (PR)
    – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High
    ◼ User Interaction (UI)
    – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど
    ◼ Scope
    – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed)
    ◼ Impact (Confidentiality, Integrity, Availability)
    – None/Low/High
    13
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
    CIA Triad(秘匿性、完全性、可用性)
    インパクト

    View Slide

  14. @2022 IBM Corporation
    IBM Automation Software
    CVE Rating
    14
    CVSS Score Qualitative Rating
    0.1 – 3.9 Low
    4.0 – 6.9 Medium
    7.0 – 8.9 High
    9.0 – 10.0 Critical
    ◼いつもの業務を中断してバグフィックスをする
    ◼お客様が臨時メンテナンスをとられることもある

    View Slide

  15. 今日お話しすること
    脆弱性の評価 パッチ作成
    Bulletin作成 PSIRTで学んだこと セキュリティ強化の
    取り組み
    トレンド・まとめ
    JJUG CCC 2023 Spring

    View Slide

  16. @2022 IBM Corporation
    IBM Automation Software
    パッチ作成
    ◼スコアに応じて、パッチ作成の期限がきまっている
    ◼スコアが高くなる脆弱性タイプ
    –リモートコード実行(Remote Code Execution)
    –XML外部エンティティ(XML External Entity)
    –Denial of Service(DoS攻撃)
    –Cross-site scripting(XSS)
    –Cross-site request forgery(CRSF)
    –Server-side request forgery(SSRF)
    –Information Disclosure (情報漏えい)
    16

    View Slide

  17. @2022 IBM Corporation
    IBM Automation Software
    パッチ作成
    プログラム修正点
    –DeserializeやXML解析の入力データに注意(Sanitizeする)
    –大量リクエスト、大量データ処理に注意(高CPU、OOMを起こさない)
    –認証の失敗は、何度もリトライさせない
    –JavaScriptのBest Practiceを守る
    –Exceptionのスタックを表示しない
    –セキュリティ&プライバシー・データを表示しない
    17

    View Slide

  18. 今日お話しすること
    脆弱性の評価 パッチ作成
    Bulletin作成 PSIRTで学んだこと セキュリティ強化の
    取り組み
    トレンド・まとめ
    JJUG CCC 2023 Spring

    View Slide

  19. @2022 IBM Corporation
    IBM Automation Software
    Security Bulletin作成
    19
    CVEID: CVE-2020-4276
    DESCRIPTION: IBM WebSphere Application Server [7.0, 8.0, 8.5, and 9.0]
    traditional is vulnerable to a [privilege escalation] vulnerability when using
    [token-based authentication] in [an admin request over the SOAP connector]
    X-Force ID: 175984.
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

    View Slide

  20. @2022 IBM Corporation
    IBM Automation Software
    Security Bulletin作成
    20
    CVEID: CVE-2020-4276
    DESCRIPTION: IBM WebSphere Application Server [バージョン] traditional
    is vulnerable to a [脆弱性タイプ] vulnerability when using [手段] in [経路]
    X-Force ID: 175984.
    CVSS Base score: 7.5
    CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

    View Slide

  21. @2022 IBM Corporation
    IBM Automation Software
    Security Bulletin作成
    ① 定型文なので、英語力は必要なかった
    ② 脆弱性の内容は最小限しかシェアしない
    ③ 「○○の脆弱性がない」とは絶対に発表しない
    ④ Security Bulletinとパッチは一緒に発表する
    21

    View Slide

  22. 今日お話しすること
    脆弱性の評価 パッチ作成
    Bulletin作成 PSIRTで学んだこと セキュリティ強化の
    取り組み
    トレンド・まとめ
    JJUG CCC 2023 Spring

    View Slide

  23. @2022 IBM Corporation
    IBM Automation Software
    PSIRTのチームに入って学んだこと
    ◼プロセスがトップダウンで変化
    23
    ◼コロナでオンライン需要拡大、脆弱性レポートが激増
    ◼LOG4Jでセキュリティの重要性が高まる
    ◼記録を残すこと
    – 現在進行形の脆弱性をトラッキング(ServiceNow)
    – ミーティングとパッチの状況を把握(Zenhub)
    – 自分のやった仕事、業績も書きとめておく

    View Slide

  24. @2022 IBM Corporation
    IBM Automation Software
    PSIRTのチームに入って学んだこと
    24
    ◼パッチのスケジュール管理、品質管理
    ◼オープンソースの取り扱い(独自Branch)
    独自パッチ:システム安定、メンテ・コスト高、OSSバージョンが上がらない
    OSSパッチ:コミュニティの他のコード変更がはいる、お客様のテスト負担

    View Slide

  25. 今日お話しすること
    脆弱性の評価 パッチ作成
    Bulletin作成 PSIRTで学んだこと セキュリティ強化の
    取り組み
    トレンド・まとめ
    JJUG CCC 2023 Spring

    View Slide

  26. @2022 IBM Corporation
    IBM Automation Software
    セキュリティ強化の取り組み
    ◼コンテナ・イメージのセキュリティ強化
    26
    ◼DevOpsにセキュリティ・スキャンのプロセス追加
    ◼SPbD(Security & Privacy by Design)
    ◼CISベンチマーク作成 (Center of Internet Security Benchmark)
    きめうちパスワードやデフォルトのCertificateを使わない
    セッションなどのタイムアウト最短
    Cookieのセキュリティ設定を厳しく
    Cipherやプロトコルの設定を厳しく
    ネットワークポリシー最適化
    データーのライフサイクル確認(収集、削除、監視など)
    Privilegeを最小にする
    SPbDを遵守したコンテナ・イメージづくり

    View Slide

  27. 今日お話しすること
    脆弱性の評価 パッチ作成
    Bulletin作成 PSIRTで学んだこと セキュリティ強化の
    取り組み
    トレンド・まとめ
    JJUG CCC 2023 Spring

    View Slide

  28. @2022 IBM Corporation
    IBM Automation Software
    個人的なまとめ
    ◼コンテナやクラウドの技術とセキュリティを合わせた分野に注目
    28
    ◼タイムリーなリスク評価や、脆弱性発見のスキルに需要
    ◼会社間のパートナーシップが進む
    ◼製品の脆弱性対応は、AIやオートメーションで合理化する余地がある

    View Slide