JJUG Spring 2023 脆弱性がみつかってから パッチとSecurity Bulletinが 作られるまで 高宮 裕子(@htakamiy) E-mail ↗ Twitter ↗

With you today 高宮 裕子 IBM WebSphere Security Development Open Liberty Security Development Product Security Incident Response Team • 米ノースカロライナ州のIBMに勤務 • アプリケーション・ランタイム製品のセキュリティ開発部門に所属 • ２０２０年3月よりPSIRTチーム一員として脆弱性対応に従事 • 東京生まれ、東京育ち • JJUG CCC Fall 2022から参加 JJUG CCC 2023 Spring

PSIRT (Product Security Incident Response Team）とは？ JJUG CCC 2023 Spring 自社製品の脆弱性対応をするチーム 主な業務 • ステークホルダーとの連携 • 脆弱性関連情報の収集 • インシデント発生の対策 • 24時間体制で脆弱性レポートをモニター マネジメント・リーガル 情報収集 パッチとBulletin作成

なぜJJUGで脆弱性のトーク？ 脆弱性発見 パッチ作成 Security Bulletin掲載 パッチ適用 品質担保 JJUG CCC 2023 Spring コンテナ技術利用 自動テスト システム無停止 脆弱性対応を支える技術 梶紳之介さん (JJUG CCC 2022 Fall) オープンソース・コミュニティ お客様の報告 FVT, SVTテスト Penetration Test Vulnerability Scan Application Security Scan Ethical Hackers Third Party Security Entities 1 2 3 今日のトーク JJUG CCC 2022 Fall まとめブログ by YujiSoftware(@YujiSoftware) JJUG CCC 2022 Fall YouTubeチャンネル

今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC 2023 Spring

@2022 IBM Corporation IBM Automation Software 脆弱性の評価 6 CVEID: CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server 7.0, 8.0, 8.5, and 9.0 traditional is vulnerable to a privilege escalation vulnerability when using token-based authentication in an admin request over the SOAP connector. X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 説明をどう書いている？ スコアはどうやってつけているの？ ベクターって何？

@2022 IBM Corporation IBM Automation Software 脆弱性の評価 7 再現 レポート通りに再現するか？ 評価 脆弱性を認めるのは製品オーナー • Review Board (ミーティング） • CVSSスコアのための質問 • Bulletin内容検討 CVE CVSS 会社のセキュリティ部門から CVE IDとCVSSスコアを取得 • OSSのスコアはそのまま使う • 自社コードのスコアは経験則で CVE: Common Vulnerability Exposure 脆弱性に割り振られるID MITRE Corporation（米連邦政府非営利組織） CVSS：Common Vulnerability Scoring System 脆弱性のスコア

@2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼ Access Vector (AV) – どこから悪用されるか Local（Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要？（Rootだけが悪用、Root以下でも悪用、認証すらいらない）None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か？PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか（Unchanged）より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 8 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) ネットワーク経由で悪用できる

@2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼ Access Vector (AV) – どこから悪用されるか Local（Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要？（Rootだけが悪用、Root以下でも悪用、認証すらいらない）None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か？PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか（Unchanged）より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 9 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 悪用には複雑な手順がいる

@2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼ Access Vector (AV) – どこから悪用されるか Local（Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要？（Rootだけが悪用、Root以下でも悪用、認証すらいらない）None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か？PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか（Unchanged）より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 10 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 管理者でなくてもよい

@2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼ Access Vector (AV) – どこから悪用されるか Local（Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要？（Rootだけが悪用、Root以下でも悪用、認証すらいらない）None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か？PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか（Unchanged）より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 11 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) ユーザーの介入不要

@2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼ Access Vector (AV) – どこから悪用されるか Local（Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要？（Rootだけが悪用、Root以下でも悪用、認証すらいらない）None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か？PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか（Unchanged）より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 12 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 他のコンポーネントにまで影響がでるか

@2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼ Access Vector (AV) – どこから悪用されるか Local（Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要？（Rootだけが悪用、Root以下でも悪用、認証すらいらない）None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か？PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか（Unchanged）より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 13 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) CIA Triad（秘匿性、完全性、可用性） インパクト

@2022 IBM Corporation IBM Automation Software CVE Rating 14 CVSS Score Qualitative Rating 0.1 – 3.9 Low 4.0 – 6.9 Medium 7.0 – 8.9 High 9.0 – 10.0 Critical ◼いつもの業務を中断してバグフィックスをする ◼お客様が臨時メンテナンスをとられることもある

今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC 2023 Spring

@2022 IBM Corporation IBM Automation Software パッチ作成 ◼スコアに応じて、パッチ作成の期限がきまっている ◼スコアが高くなる脆弱性タイプ –リモートコード実行（Remote Code Execution） –XML外部エンティティ（XML External Entity) –Denial of Service（DoS攻撃） –Cross-site scripting（XSS） –Cross-site request forgery（CRSF） –Server-side request forgery（SSRF） –Information Disclosure (情報漏えい） 16

@2022 IBM Corporation IBM Automation Software パッチ作成 プログラム修正点 –DeserializeやXML解析の入力データに注意（Sanitizeする） –大量リクエスト、大量データ処理に注意（高CPU、OOMを起こさない） –認証の失敗は、何度もリトライさせない –JavaScriptのBest Practiceを守る –Exceptionのスタックを表示しない –セキュリティ＆プライバシー・データを表示しない 17

今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC 2023 Spring

@2022 IBM Corporation IBM Automation Software Security Bulletin作成 19 CVEID: CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server [7.0, 8.0, 8.5, and 9.0] traditional is vulnerable to a [privilege escalation] vulnerability when using [token-based authentication] in [an admin request over the SOAP connector] X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

@2022 IBM Corporation IBM Automation Software Security Bulletin作成 20 CVEID: CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server [バージョン] traditional is vulnerable to a [脆弱性タイプ] vulnerability when using [手段] in [経路] X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

@2022 IBM Corporation IBM Automation Software Security Bulletin作成 ① 定型文なので、英語力は必要なかった ② 脆弱性の内容は最小限しかシェアしない ③ 「○○の脆弱性がない」とは絶対に発表しない ④ Security Bulletinとパッチは一緒に発表する 21

今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC 2023 Spring

@2022 IBM Corporation IBM Automation Software PSIRTのチームに入って学んだこと ◼プロセスがトップダウンで変化 23 ◼コロナでオンライン需要拡大、脆弱性レポートが激増 ◼LOG4Jでセキュリティの重要性が高まる ◼記録を残すこと – 現在進行形の脆弱性をトラッキング（ServiceNow） – ミーティングとパッチの状況を把握（Zenhub） – 自分のやった仕事、業績も書きとめておく

@2022 IBM Corporation IBM Automation Software PSIRTのチームに入って学んだこと 24 ◼パッチのスケジュール管理、品質管理 ◼オープンソースの取り扱い（独自Branch) 独自パッチ：システム安定、メンテ・コスト高、OSSバージョンが上がらない OSSパッチ：コミュニティの他のコード変更がはいる、お客様のテスト負担

今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC 2023 Spring

@2022 IBM Corporation IBM Automation Software セキュリティ強化の取り組み ◼コンテナ・イメージのセキュリティ強化 26 ◼DevOpsにセキュリティ・スキャンのプロセス追加 ◼SPbD（Security & Privacy by Design) ◼CISベンチマーク作成 (Center of Internet Security Benchmark) きめうちパスワードやデフォルトのCertificateを使わない セッションなどのタイムアウト最短 Cookieのセキュリティ設定を厳しく Cipherやプロトコルの設定を厳しく ネットワークポリシー最適化 データーのライフサイクル確認（収集、削除、監視など） Privilegeを最小にする SPbDを遵守したコンテナ・イメージづくり

今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC 2023 Spring

@2022 IBM Corporation IBM Automation Software 個人的なまとめ ◼コンテナやクラウドの技術とセキュリティを合わせた分野に注目 28 ◼タイムリーなリスク評価や、脆弱性発見のスキルに需要 ◼会社間のパートナーシップが進む ◼製品の脆弱性対応は、AIやオートメーションで合理化する余地がある