Get Ready for the Next Big Wave of Attacks #appsecapac2014

Transcript

1. Get Ready for the Next Big Wave of Attacks: Hacking

   of Leading CMS Systems 次の大きな攻撃の波に準備しろ！:CMSシステムへのハッキング Helen Bravo Product Manager Checkmarx アグナニ　サンジェ 株式会社インテリジェントウェイブ

2. CMS “A Content Management System (CMS) is a computer program

   that allows publishing, editing and modifying content as well as maintenance from a central interface.” (Wikipedia) コンテンツマネジメントシステム（英: Content Management System, CMS）は、Webコンテンツを構成するテキストや画像 などのデジタルコンテンツを統合・体系的に管理し、配信など必 要な処理を行うシステムの総称。（ウィキペディア） 2

3. Infographics http://www.webnethosting.net/ wordpress-vs-joomla-vs-drupal-cms- popularity-war

4. Drupal Architecture Plugin(s) / Widgets

5. CMS Plugins Barriers to entry are very low: No publishing

   fees No publishing checks Simple API PHP 5 参入障壁は非常に低い： 　無料で出品できる 　公開時のチェック無し 　シンプルなAPI 　ＰＨＰ

6. Significant Exposure 6

7. Anyone in your company can set a new WordPress instance.

   No need for IT personnel or R&D assistance. 社内の誰もが新しいワードプレスのインスタンスを構築することができる。 IT担当者や開発担当者の支援は必要無い。 7 Significant Exposure

8. 1+1=? Low Barrier + Exposure = Security Concern 低障壁 +

   利用範囲　=　セキュリティ上の問題 8

9. Some Stats 9

10. Our report Jan . 2013 – 30% of top 50

    Feb. – Apr. – Notified 3 vendors (Automatic) Jun. – 20% of top 50 – 7 out of 10 e-commerce Recommendations 10 2013年１月 –　トップ50の3割 ２月 – ４月 – 3ベンダーに通知 (自動) ６月 – トップ50の2割 – 10個中の7個が電子商取引関連 推奨

11. 11

12. 12

13. SlimStat SQLi 13

14. SlimStat - CSRF 14

15. BackWPUp - Directory Traversal 15

16. BackWPUp - XSS 16

17. Report (Jan. 8, 2014) 17 Ory Segal - https://blogs.akamai.com/2014/01/wordpress-plugins-exploitation-through-the-big-data-prism.html • 

    ウェブハッカーは本当にWordpressのプラグインをターゲットにしているか •  どのワードプレスプラグインがハッカーから最も狙われているか •  どのタイプの脆弱性がハッカーに最も狙われているか •  1週間の間に約43,000の攻撃がワードプレスプラグインをターゲットにしている。 •  66の異なるワードプレスプラグインが標的とされ、そのうち８つのプラグインが最も多い攻撃を受けた。（図参照） •  "TimThumb"プラグイン: http://www.binarymoon.co.uk/projecks/timthumb/ がなんと全攻撃の内の73パーセントの攻撃を受けた。

18. Anatomy of an attack – Widespread 18 Check which sites

    are using these plugins On average, 3 of them are vulnerable to high-risk vulnerabilities Download 10 WP plugins google: index of /wp- content/plugins/slimstat ＷＰプラグイン　　　　　⇒　 そのうち平均としては　　　 　⇒ 　どのサイトがこれらのプラグイン を１０個ダウンロード　　　　 3つのプラグインに高リスク　　　　を使用しているかをチェック　 　　　　　　　　　　　　　　　　　の脆弱性が含まれている　　 　（google: index of /wp-content/plugins/slimstat）

19. 19 Check for vulnerabilities in these plugins Download these plugins

    Check what plugins are used by your target: Google: "index of /wp-content/" site:victim.com 攻撃対象となるターゲットサイトが　⇒　これらのプラグイン　　⇒ 　　これらのプラグインの 使用しているプラグインを調べる　　　　 をダウンロードする　　　　　　脆弱性をチェックする （Google: "index of /wp-content/" site:victim.com）　　　　 Anatomy of an attack – Targeted

20. What should I do? 1.  Ask you plugin-market owner what

    security measures it takes to ensure the security level of the hosted plugins 2.  We found that “you get what you pay for” – commercial markets are more secure than free ones (wordpress.com VS. wordpress.org) 3.  Upgrade your plugins to their latest version 4.  Educate your team regarding the security risks of setting up new CMS instances 20 1.  プラグインのセキュリティレベルを確保するためにどのようなセキュリティ対策を取っているかにつ いて、プラグインマーケットの管理者に確認する。 2.  我々の調査によると”支払った値段相当のものしか得られない”つまりワードプレス有料プラグイン マーケットのほうが無料のものより（wordpress.com VS. wordpress.org）セキュアである。 3.  プラグインを最新バージョンにアップグレードする。 4.  新規CMSインスタンスの構築に伴うセキュリティリスクについて、チームを教育する必要がある。

21. Thank you! Helen Bravo Product Manager [email protected] ご清聴ありがとうございました! アグナニ　サンジェ 株式会社インテリジェントウェイブ

    [email protected]