20240101¶
あけましておめでとうございます。
いきなり、タイトル間違えたわ。
概要¶
Terappin Attackの対応したので具体例をもとにセキュリティ対応のメモ
流れ¶
だいたいこんな感じ:
- 脆弱性情報を検知する
- 脆弱性情報を調査する
- 現状の把握
- 対処実施
- 対応後検査
- 作業報告
脆弱性情報を検知する¶
第一はこれ。自分がバグハンターとかでない限りは世に流れた情報を拾うことになる。
- 公的な情報源
- 技術系のブログ
- ニュースサイト
- SNS
- 人脈
とかだろうか。普段からどこか押さえておくのがいいのだと思う。
公的な情報源は対応できるならとてもよい。ただ自身に関係ない情報も多くて選別が大変かもしれない。
VPS環境借りているだけなのに「三菱○○社製のこの製品群の特定の実装に問題が」とかなっても困るし…。
仕事の場合…¶
仕事でやる場合、供給元の管理という観点からは広めに収集して疑問に思ったら供給元に確認しておくのが守るという点からは良心的な気がする。
脆弱性情報を調査する¶
気になるものが見つかったら調査。Terrapin attack に関しては「ssh」というキーワードが関心引いたので検知から収集に遷移。
このタイミングだと少し詳しく調べたいため、公的な情報源が役に立つ、といっても基本は以下2つを調べる
- JPCERT CC:https://www.jpcert.or.jp/
- CVE :https://cve.mitre.org/
技術系ブログは、対策手順とか載っているものがこのタイミングで見つかるとよいがそれは次のフェーズでもよい。
今回のterrapin attackみたいに名前つくぐらいの脆弱性だと公式サイト(?)が立ち上がったりするのでそこを調査対象に加えるのが良い。
terrapin attackもWebサイトができていた。
ここで各環境での状況とか載ってること多い印象。対象の脆弱性に特化しているので多少深くまで情報得られる。
現状の把握¶
脆弱性情報の調査と現状の把握は行ったりきたりするかもしれない。
「対象のソフトウェアの特定の範囲内のバージョンに脆弱性がある」のようなケースだと古くて回避不要というパターンもあったり。
イメージは…
- 脆弱性対象のバージョンを調査
- 自身の関係する環境のバージョンの確認実施
- 影響範囲内だったら緩和策や修正に必要な作業を調査
- 実行できるか現状把握
- …
この時、作業するために問題の脆弱性について解説してあるサイトとか見つけられると良き。
脆弱性のスキャンツールとか出てたりする。
- Terrapin Scanner:https://github.com/RUB-NDS/Terrapin-Scanner/releases/latest
- JVNからリンクされてる:https://jvn.jp/ta/JVNTA95077890/
こういうツールが出ると一発で把握ができるからありがたい。
対処実施¶
対処法はCVEのサイトとかに載っていることは多い。でないと悪用される可能性が…。
でも技術系ブログとか見ると考えずにコマンドコピペで済んだりするので楽。(でも考えずにコマンド打つのはダメ、絶対)
今回はコピペ対応はうまく動かなかったので関連してやり方調査することになった。
対応後検査¶
「緩和策や回避策を実施した」と思ったら最後に検証。
作業ミスとか反映漏れとか考えられるし。あとは想像外の場所に影響が及んでて困ることになる可能性もある。
こういうときに先ほどのスキャンツールはありがたい。
作業報告¶
とりあえず大体こんなことはやったとわかる記録は取っておかないと後で痛い目見る。こんな感じで文章書くだけでもいいと思う。
細かいところは収集ツールに任せるとか全部残す必要はない。
外に出すこと忘れて書きすぎて漏れちゃまずい情報まで漏らすとかは避けたいし。
実施後¶
何もないことを祈る
所感¶
検知しなければその後のフェーズにうつれないため普段からアンテナはっておきましょう。