2023/01/10のSANSセキュリティポッドキャストメモ
1:New Year Old Tricks: Hunting for CircleCI Configuration Files
- 新年になっても古いトリックを使用し続ける脅威アクターがいる。この記事では、CircleCIの設定ファイルを標的にしている攻撃を紹介している。CircleCIは、ソフトウェア開発のワークフローを自動化するためのサービスであり、設定ファイルにはクレデンシャル情報が含まれているため、アクセスされると大きな被害をもたらす可能性がある。開発者は、設定ファイルを適切に保護し、不審なアクセスには注意することが重要だ。
- クレデンシャル
ネットワーク セキュリティの世界で使用された場合には、IDやパスワードをはじめとする、ユーザ等の認証に用いられる情報の総称を意味します。
2:Amazon S3 Encrypts New Objects By Default
- Amazon S3は、新しいオブジェクトをデフォルトで暗号化するようになった。これにより、顧客は、オブジェクトがアップロードされるときに、暗号化を自動的に適用し、オブジェクトが保存されるときにも暗号化されることを保証することができる。これにより、顧客は、S3上に保存されるデータが第三者によって読み取られることなく、安全に保存されることを確保することができる。
3:MatrixSSL Buffer Overflow
- MatrixSSLは、セキュリティアドバイザリを公開している。このアドバイザリでは、MatrixSSLの脆弱性が発見され、これが攻撃者によって悪用される可能性があることが説明されている。顧客は、アップデートを適用し、脆弱性を修正することが重要だ。
- MatrixSSL
オープンソースのSSL/TLSライブラリである。これは、ほとんどのプラットフォーム上で使用でき、小さなフォットプリントと低リソース要件を持つデバイス向けに最適化されている。MatrixSSLは、Webサーバー、クライアントアプリケーション、IoTデバイスなどの様々なタイプのアプリケーションで使用され、暗号化通信のセットアップや管理を簡素化するために使用される。
4:Auth0 JsonWebToken Vulnerability CVE-2022-23529
- Palo Alto NetworksのUnit 42チームは、JSON Web Token(JWT)に脆弱性が存在することを発見し、これが攻撃者によって悪用される可能性があることを報告しています。この脆弱性は、JWTのパーサーライブラリに存在し、攻撃者が改ざんしたJWTトークンを使用して、攻撃対象のシステムにアクセスすることができる可能性がある。開発者は、この脆弱性に対応するアップデートを適用し、JWTトークンを適切に検証することが重要です。
- JSON Web Token(JWT)
WebアプリケーションやAPIにおける認証および認可の方法の一つです。JWTは、JSON形式のデータを暗号化し、それをクライアントやサーバー間で安全にやり取りすることができるようにするために使用されます。JWTは、クライアントがサーバーにアクセスするために必要な認証情報を含んでおり、サーバーはそれを検証することで、クライアントのアクセスを許可するかどうかを判断します。JWTは、OAuth2などの認証フレームワークで使用されることが多い。