弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

【ギフハフ団】再びトレンドマイクロの裏口(modTMCSS)経由で攻撃されたらすいw。毎年恒例になるの?w update17

2015年クリスマスにネットスクリーン(ScreenOS)の裏口、年明けにトレンドマイクロの裏口発表は中国への事業譲渡の布石。
この続きが起きたみたいだな。どうやらJQ部隊は何もかもつながらなくなったらすいw。

F/W、ルーター、リバプロ、ウィルス対策ソフト、何もかも設定に失敗してしまった場合、彼らはこれからどーするのだろーか?メールを送り付けて代りに入力してくださいみたいな対応がはじまるのかすらw

いちばんおもしろいと思ったのはインフラを総とっかえしてもZシステムへの接続障害が再発してしまったとこ。たしかこれ、なにやら細工して起きないはずのエラーを起こしていた件ですな。

たしか昔々パケットトレースまで変造してHTTP通信のチャンクでエラーが起きているなどとクレームを言って来ていた。そして時は流れ、両システムは次期インフラに移行した。Z側はOASからTomcatに移行。しかしそれでも同じ障害が起きたのだw。 どうやら某リバプロの欠陥が確定してしまった瞬間なのかもw。

いやいや、この障害は某ウィルス対策ソフトの通信介入でも発生することもわかっている。おもしろくなってきますたな。
トレンドマイクロがブラウザ通信に介入してHinemosのエラーを起こすw

いちばん強烈だったのは、セキュリティカードで入退室管理されたJQ部屋のLANがつながらなくなった問題。どうやら盗聴装置を突然撤去したらスプーフィングがおかしくなってネットが暴走、社内LANへの接続を禁止されてしまったらすいw。悪い人たちがまとめて報復されているようであるw。

ブログ→ウイルスバスター2011が重いのは

5. 常駐プログラムの無効化 次の常駐プログラム「以外」のチェックを全てオフにします。
>>Windows Vista、Windows 7 の場合
・Trend Micro Platinum
>>Windows 10 の場合
・Trend Micro Client Session Agent Monitor ←w
相変わらずトレンドマイクロがやりまくってるなw。

ブログ→原因はウィルスバスター? 今日は皮膚の日

「こないだのPCでいろいろ試したので、犯人はむしろ、 ウィルスバスターじゃね? と、思い、これだけ無効化してみた。」
「以下、転載==========
>>Windows 10 の場合
・Trend Micro Client Session Agent Monitor
==========」
「そしたら、普通に起動した。」w

【ロシアの米議会ハックは過去形でなく現在進行形、日本のTrend Microが痕跡を発見】w
なんだこの記事わーw。
必死なトレンドマイクロw

RT.com→CIA Director: ‘I haven’t seen’ proof of Russian interference claims
CIA長官「私はロシアが介入したという証拠を見たことがない。」w

あらら。これで犯人が確定かw。

あら?マレーシアの選挙にロシアが介入してると日経がフェイクニュースを流すw。

あ、アクティブディレクトリ(ADFS/Active Directory Federation Services)が攻略されてるのかw。
終わったなw。
トレンドマイクロが Pawn Storm と呼んでいるものはNTTコムのファンシーベアのことだw。
米大統領選挙にサイバーテロ介入する銀座コージーコーナーwのコージーベアとNTTコムのファンシーベアと高山のベアwと緑熊 #MidoriKuma

そんなトレンドマイクロがファンシーベア対策を強化したらロシアではなく、某ギフハフ団の自治体のネットに障害が起き始めたってかw。

うっは。これ。NTTコムの「ファンシーベア」だったのだw。
トレンドマイクロがブラウザ通信に介入してHinemosのエラーを起こすw

すっげー。誰かがJQ部屋に強烈なワナを仕掛けたらすいw。 ひょっとしてロシアw? おーい、ザハロワ。何か知らないか?w

いま気付いたw。
JQ部屋のファンシーベアと、Windowsサーバーのライブマイグレーションのメルトダウンとスペクターの2本立てなのかw。
やるなー。おまえ、すげーやつだなw。

競馬中継をChromecastドングルで見てたとか?w。いやいやそんな度胸はないだろうw。

khalil-shreateh.com→Trend Micro InterScan Messaging Security Virtual Appliance Remote Code Execution (2017年8月27日)
2017年8月。トレンドマイクロ製品で再び遠隔コード実行の脆弱性w。

packetstormsecurity.com→Trend Micro InterScan Messaging Security (Virtual Appliance) Remote Code Execution(2017年10月12日)
うわ。やべぇ。443ポートの認証を迂回してコマンド注入できるのか。それにJSESSIONIDのモニターを悪用してる。 F/Wやルータじゃなくて、トレンドマイクロを導入してあるWindowsのPCの設定をリモートで変えられたっぽいw。

exploit-db.com→Trend Micro InterScan Messaging Security (Virtual Appliance) - Remote Code Execution (Metasploit)(2017年10月11日)
トレンドマイクロ経由で遠隔操作を可能にするメタスプロイトのコードが出回っているw

checkpoint.comのCheck Point Advisories→Trend Micro InterScan Messaging Security modTMCSS Command Injection (CVE-2017-11391; CVE-2017-11394) (2017年11月7日)
「トレンドマイクロ内蔵のプロキシサーバー(modTMCSS)にリクエストパラメータの間違ったチェックロジックが原因のあって外部からコマンド注入できる脆弱性がある。」
「Trend Micro OfficeScan 11 and XG (12) 」
ターゲットはまたしてもJ企だわw。

あ、オレ。誰がやってるのかわかったわw。

おいおい。こういうのって毎年年末恒例になるのかすら?十八楼は年末年始にどんなサイバー攻撃されたのか報告する場になるのかすら。

w

barracuda.com→How can I configure my Cisco ASA to transparently proxy web traffic to the Web Security Service?
fir3net.com→Cisco ASA 8.4/8.6 - Proxy ARP Gotcha
ネットに繋がらなくなったのはARPゴッチャwが原因だな。
cisco.com→TCP RESET-I Connection in ASA 5520
duo.com→Why do I see "Received duplicate request" messages in my Authentication Proxy debug logs with Cisco ASA or other applications?

独自にJavaでコテコテ実装したリバプロのトラフィックが攻撃と判断されて切断されているw。 ぐはは。なんか虎の尻尾を踏んだみたいね。 これじゃぁ暫くトラぶったままになるw。 ARPゴッチャとリバプロの通信障害だけでなく、切断されてしまうトラフィックがあちこちで発生してるのだろう。 完全な設計ミスとテスト漏れw。責任問題になる。

エクストラベーコンだわw

はぁ?SNMPでパスワードチェックを無効にできるw。

いまでもエクストラベーコンを使えるのか。しかもギフハブではないギットハブ(github.com)で攻略コードが公開してあるw。

cisco.com→SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE Software
ASAのファームウェアを更新するまで、SNMPでパスワードチェックを無効にされ、侵入され、ARPゴッチャを起こされるてかw。

blogs.cisco.com→The Shadow Brokers EPICBANANA and EXTRABACON Exploits
シャドウブローカーはEXTRABACONだけでなく後でEPICBANANAなる脆弱性も公開w

問題は開発元のCISCO社でも回避できない脆弱性があること。

snortのルールをおしえるからトラフィックを自分でモニター監視しろとw。
Snort Rule IDs 40220(1), 40221(1), 40222(1)

tools.cisco.com→IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
CISCO来てるわー。

tools.cisco.com→Cisco Security Advisories and Alerts
なんだこれ。こんなに脆弱性があるのかw。

  Cisco NX-OS Software Pong Packet Denial of Service Vulnerability /High        /CVE-2018-0102 /2018 Jan 17     1.0
  Cisco Email Security and Content Security Management Appliance Privilege Escalation Vulnerability /High       /CVE-2018-0095 /2018 Jan 17  1.0
  Cisco Unified Customer Voice Portal Denial of Service Vulnerability /High     /CVE-2018-0086 /2018 Jan 17     1.0
  CPU Side-Channel Information Disclosure Vulnerabilities /Medium       /CVE-2017-5715 CVE-2017-5753 ...  /2018 Jan 17       1.10
  Cisco Web Security Appliance Reflected Cross-Site Scripting Vulnerability /Medium     /CVE-2018-0093 /2018 Jan 17  1.0
  Cisco WebEx Meetings Server Information Disclosure Vulnerability /Medium      /CVE-2018-0111 /2018 Jan 17     1.0
  Cisco WebEx Meetings Server Remote Account Disabling Vulnerability /Medium    /CVE-2018-0110 /2018 Jan 17     1.0
  Cisco WebEx Meetings Server Information Disclosure Vulnerability /Medium      /CVE-2018-0109 /2018 Jan 17     1.0
  Cisco WebEx Meetings Server Information Disclosure Vulnerability /Medium      /CVE-2018-0108 2018 Jan 17      1.0
  Cisco WAP150 Wireless Cross-Site Scripting Vulnerability /Medium      /CVE-2018-0098 2018 Jan 17      1.0
  Cisco UCS Central Software IPv6 Denial of Service Vulnerability /Medium       /CVE-2018-0094 2018 Jan 17      1.0
  Cisco Unified Communications Manager Information Disclosure Vulnerability /Medium     /CVE-2018-0105 2018 Jan 17   1.0
  Cisco StarOS CLI Command Injection Vulnerability /Medium      /CVE-2018-0115 2018 Jan 17      1.0
  Cisco Prime Service Catalog Cross-Site Request Forgery Vulnerability /Medium  /CVE-2018-0107 2018 Jan 17      1.0
  Cisco Prime Infrastructure Open Redirect Vulnerability /Medium        /CVE-2018-0097 2018 Jan 17      1.0
  Cisco NX-OS System Software Unauthorized User Account Deletion Vulnerability /Medium  /CVE-2018-0092 /2018 Jan 17  1.0
  Cisco NX-OS System Software Management Interface Denial of Service Vulnerability /Medium      /CVE-2018-0090 /2018 Jan 17  1.0
  Cisco D9800 Network Transport Receiver OS Command Injection Vulnerability /Medium     /CVE-2018-0099 2018 Jan 17   1.0
  Cisco Identity Services Engine DOM Cross-Site Scripting Vulnerability /Medium /CVE-2018-0091 2018 Jan 17      1.0
  Cisco IOS Software for Industrial Ethernet 4010 Series Switches Test Command Arbitrary Code Execution and Denial of Service Vulnerability /Medium  /CVE-2018-0088 2018 Jan 17      1.0
  Cisco Elastic Services Controller Information Disclosure Vulnerability /Medium        /CVE-2018-0106 2018 Jan 17   1.0
  Cisco Policy Suite Unauthenticated Information Disclosure Vulnerability /Medium       /CVE-2018-0089 2018 Jan 17   1.0
  Cisco Prime Infrastructure Privilege Escalation Vulnerability /Medium /CVE-2018-0096 2018 Jan 17      1.0
  Cisco AnyConnect Profile Editor XML External Entity Injection Vulnerability /Medium   /CVE-2018-0100 2018 Jan 17   1.0
  Cisco Small Business 300 and 500 Series Managed Switches HTTP Response Splitting Vulnerability /Medium        /CVE-2017-12308 /2018 Jan 17 1.0
  Cisco Small Business 300 and 500 Series Managed Switches Cross-Site Scripting Vulnerability /Medium   /CVE-2017-12307 /2018 Jan 17 1.0
  Bleichenbacher Attack on TLS Affecting Cisco Products: December 2017 /Medium  /CVE-2017-12373 CVE-2017-17428 /2018 Jan 16  1.5
  SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE Software /High     /CVE-2017-6736 CVE-2017-6737 ...  /2018 Jan 11       1.6
  Cisco FXOS and NX-OS System Software CLI Command Injection Vulnerability /Medium      /CVE-2017-12329 /2018 Jan 11 1.1
  Cisco Nexus Series Switches CLI Command Injection Vulnerability /Medium       /CVE-2017-12330 /2018 Jan 11    1.1
  Cisco NX-OS System Software CLI Command Injection Vulnerability /Medium       /CVE-2017-12335 /2018 Jan 11    1.1
  Cisco NX-OS System Software CLI Arbitrary File Read Vulnerability /Medium     /CVE-2017-12338 /2018 Jan 11    1.1
  Cisco NX-OS System Software CLI Command Injection Vulnerability /Medium       /CVE-2017-12339 /2018 Jan 11    1.1
  Cisco Unified Communications Manager Cross-Site Scripting Vulnerability /Medium       /CVE-2018-0118 /2018 Jan 10  1.0
  Multiple Vulnerabilities in OpenSSL (January 2016) Affecting Cisco Products /High     /CVE-2015-3197 /CVE-2016-0701 /2018 Jan 04   1.15
  Cisco WebEx Network Recording Player Buffer Overflow Vulnerability /Medium    /CVE-2018-0103 /2018 Jan 03     1.0
  Cisco WebEx Advanced Recording Format Player Remote Code Execution Vulnerability /Medium      /CVE-2018-0104 /2018 Jan 03  1.0
  Multiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II /High        /CVE-2017-13077 CVE-2017-13078 ...  /2018 Jan 02     2.9
  Cisco Email Security Appliance Header Bypass Vulnerability /Medium    /CVE-2017-12353 /2017 Dec 13    1.4
  Multiple Vulnerabilities in Cisco WebEx Recording Format and Advanced Recording Format Players /Critical      /CVE-2017-12367 CVE-2017-12368 ...
おいおい、2018年になってから40件も報告されてるじゃまいかw。なんだこれわー。ありえないだろ。

SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE Software /High     /CVE-2017-6736 CVE-2017-6737 ...  /2018 Jan 11       1.6
やや。2016年8月のエクストラベーコンが今(2018年1月18日)でも使えるのかw。ありえねーw。

ひょっとしてサイバーなガサ入れ(強制捜査)進行中?
岐阜県高山市の「それいゆ」は津久井やまゆり園の続きだ。河野太郎。

そろそろ副知事の仕事がバレちゃうのかすら?w
京都府警組対2課の乱闘事件と副知事の仕事w。

supportforums.cisco.com→[ASA5510] Cisco AnyConnect - Cookie not HTTP-Only
ASAのログ解析なしで原因特定はできないだろう。なので通信障害を何ひとつ解決することができなくなってる。 手製のシングルサインオンの認証クッキーにHTTP-Only属性がないのでASAが介入して読み捨ててるw。

supportforums.cisco.com→SSH through an ASA

cisco.com→PIX/ASA 7.x: SSH/Telnet on the Inside and Outside Interface Configuration Example
sshでサーバーに接続させるためにASAにも設定が必要なのか。ASAがssh通信に介入するのかぁ。これは難解w

投稿されたコメント:

コメント
コメントは無効になっています。