弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

トレンドマイクロがブラウザ通信に介入してHinemosのエラーを起こすw update11

会社のPCで社内LANのWebサーバーに接続する時に異常に遅くなる現象が起きている。 どういうわけかブラウザをプロキシ設定にして例外リストにWebサーバーを設定すると問題は起きなくなる。 この会社の社内LANは細工されたプロキシでインターネットとは隔離してある。

プロジェクトチームで調査していくうちにトレンドマイクロのビジネスセキュリティのサービスを止めると問題が起きないことが判明する。


「Webレピュテーション」と「URLフィルター」を止めると遅くなる問題はなくなるのだが、 なんとHinemosのJavascriptエラーは起き続けるのだ。 しかしトレンドマイクロのサービス全体を停止すると障害は起きなくなるw


トレンドマイクロがブラウザのJavascriptに介入して障害を起こしているように見えたが、 Hinemosのサポートに問い合わせたところセッションが切れたときの症状なのだとか。

「挙動監視」もオフらないといけないのか?

「Webレピュテーション」、「URLフィルター」、「挙動監視」の3つをオフってもHiemosの接続障害は改善しない。しかしトレンドマイクロのサービス全体を止めると障害が消えるので原因はトレンドマイクロにある。

ありえねー。これだけプロジェクトを混乱させて何のためにカネ払って導入したのかわからなくなってる。

これの続きが起きてるのだw

どうやらマカフィーと同じ細工がトレンドマイクロにもあるみたいだなw

今回もっとおもしろかったのは別件でドメイン名を登録する手続きがあり、www以外はドメイン登録は不要なんじゃねと不用意に発言してしまいJ企が会社全体のドメイン参照を追跡してることも判明してる。

なんてゆーか、ヤツ等は思ってたとーりのことをやってたみたいだ。

社外でも有害サイトを防御、サーバレスURLフィルタリング
あ、これだ。やっぱテロだわ。

外部クラウド上にlookupサーバを構築し、URLデータベースサーバをPCが常に参照してる。つかアクセスするURLをクラウド上にあるトレンドマイクロのサーバにログしてる。これに引っかかってる。画面で機能をオフにしても実際はオフにならず外のデータベースにアクセスするのかも。

このトレンドマイクロのクラウド製品は自由に外にアクセスできるネット環境を前提にしてるため、細工されたプロキシ環境ではタイムアウト動作を起こしてしまうのだ。つまりクラウド経由でPCに侵入できる環境を構築したら裏目に出たとw

この会社のプロキシサーバは細工されているので、トレンドマイクロのサービスが一見つながってるように見える。なのでプロキシを経由して外部のlookupサーバにアクセスを試みるとハングアップしてタイムアウトしまうということらしい。

さてここからおもしろい話になる。 トレンドマイクロはブラウザの通信に介入してアクセスを制限してるのだけど、それがHinemosの管理コンソールのWeb画面だったのだな。で、エラーメッセージがJavascriptになっていたとこ。

家庭用ルータを狙う不正スクリプト「JITON」、国内でも攻撃継続中
遅くなったのはこの対策の副作用だな。

つまりNTTデータのHinemosにWeb管理画面にJavascriptでDNSを改ざんする 「JITON」の不正スクリプトのコードがあるのかもということになるのだ。
トレンドマイクロとNTTデータ。どっちを信用するかって?どっちも信用できないのは間違いないw

Trend Micro thanks Google Project Zero for the vulnerability klaxon
TrendMicro node.js HTTP server listening on localhost can execute commands
これだわ。なんなんだ。このソフトはw

https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe
トレンドマイクロのNode.jsの裏口は2016年1月5日にユーザーが発見。 Node.jsでWindowsのコマンドを何でも実行できる裏口を作ってたのか。 それをユーザーに指摘されすぐに裏口を塞いだトレンドマイクロ。

トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性(2016年01月14日)
トレンドマイクロがNode.js実装のパスワードマネージャーを開発。 それがバグを起こし、修正され配布され、問題は解決されたはずなのに、 うちのプロジェクトではトレンドマイクロのビジネスセキュリティがブラウザのJavascriptに介入して悪さをしてるように見える。

Handling duplicate GET requests (caused by Trendmicro) in a Tomcat servlet
あー、わかった。
スワンは手製のリバプロなのでトレンドマイクロのサイトが反応してセッションを初期化してるんだわ。
ありえねー。こんな仕掛けがあるんだ。

LAN内のLinuxサーバーにPrivoxyを立ててそれを経由してHinemosにアクセスすると障害が消えることも確認。
PCのトレンドマイクロのビジネスセキュリティのサービスがセッションを初期化してるのは間違いないようだ。

0002909: Session will be destroyed as soon as changes the user agent!

(0004625)
csimon (reporter)
2011-05-20 07:59

I translate:

The procedure to destroy the session if user agent changes causes some problems with antivirus tools like trend micro, which make a request to each site to detect drive by infections. Therefore, the user agent check should be improved or removed.

あー、これだ。user agentの文字列が変化するとトレンドマイクロがセッションを切るんだわ。 つまりHinemosやスワンの中継でuser agentの文字列が変わってるでトレンドマイクロが反応するのか。困ったもんですなー。

これがプロキシを使うとトレンドマイクロは介入できなくなる理由。 つまりPCのローカルに介入するためのプロキシ実装がある。 それが49155ポートでLISTENしてるサービスなんでしょーな。

さてこの障害が意味する問題点と論点はどこか?

  • トレンドマイクロの管理コンソールで「Webレピュテーション」、「URLフィルター」、「挙動監視」の機能をオフにしても実はオフにならない。
  • トレンドマイクロのサービス全体を終了させる為には管理パスワードが必要で、一般ユーザーはプロキシ設定に気付かなければ障害を回避できない状態になる。
  • user agentの文字列の監視を口実にHTTPトラフィックの内部をモニターしてる。
  • 偽のHTTP応答をブラウザに送りつけてセッションを切断する。
    これはバグや障害を擬装したトレンドマイクロのサイバーテロである。
  • 遠隔操作ウィルスの正体はトレンドマイクロじゃないのか?
  • 選挙サーバーをわざわざWindowsサーバーに指定するのはトレンドマイクロを使いたいからじゃないのか?

などと、いろいろストーリーを組立てちう。

Trend Micro Password Manager flaw; backdoors and passwords


by
Peter Loshin
Site Editor
Published: 15 Jan 2016

In this roundup, Trend Micro's Password Manager flamed over JavaScript flaw; Android malware breaks two-factor authentication; Cisco vulnerabilities; Juniper backdoor update and more.

Cybersecurity firm Trend Micro released an emergency fix this week for critical vulnerabilities in the Password Manager component of its Windows antivirus program.

The Trend Micro Password Manager -- written in JavaScript using Node.js -- is part of the company's consumer antivirus product, and allows users to store and manage their passwords. However, antivirus software is not considered a good candidate to manage other functions because it usually requires high levels of system privileges, so it can detect and remove malware. The flaws Google Project Zero researcher Tavis Ormandy discovered would have permitted attackers to perform remote code execution, as well as access all user passwords stored in the Password Manager because of the elevated privileges.

"It took about 30 seconds to spot [an HTTP remote procedure call port for handling API requests] that permits arbitrary command execution," Ormandy wrote in comments posted on the Google Security Research site. "Anyone on the Internet can steal all of your passwords completely silently, as well as execute arbitrary code with zero user interaction. I really hope the gravity of this is clear to you, because I'm astonished about this."

Ormandy also noted that "this component exposes nearly 70 APIs to the Internet, most of which sound pretty scary," adding: "They need to hire a professional security consultant to audit it urgently."

Trend Micro worked with Ormandy prior to announcing the vulnerabilities on their official blog and releasing a fix.

"The most important thing to know is that the critical vulnerabilities in the public report have been fixed for all Trend Micro Password Manager customers," wrote Christopher Budd, global threat communications manager with Trend Micro, adding that no commercial or enterprise products were affected -- only the consumer version of Trend Micro Password Manager. "We released a mandatory update through Trend Micro's ActiveUpdate technology on January 11, 2016, that fixes these problems: All customers should have that now."

Android malware steals two-factor authentication passwords

Meanwhile, Android malware has been detected that's capable of defeating two-factor authentication (2FA) by forwarding voice calls containing onetime passphrases that would ordinarily be received by the authorized users, Dinesh Venkatesan, principal threat analysis engineer at Symantec, reported this week.

Venkatesan reported last year that Android malware -- first detected in 2014 and referred to as Android.Bankosy -- had been observed intercepting short message service (SMS) messages. The malware recently added the ability to forward voice calls, because financial institutions have been moving away from sending the onetime passcodes via SMS.

Although the ability to defeat 2FA should be a concern, Symantec rated the Android.Bankosy malware as "Risk Level 1: Very Low," in part because it must be installed manually on the victim's device.

Cisco backdoors and default passwords

Cisco had a rough week, reporting several new vulnerabilities, as well as an unexpected default password change. First, there was a critical backdoor vulnerability in the admin portal of devices running Cisco Identity Services Engine software that "could allow an unauthenticated, remote attacker to gain unauthorized access to an affected device."

Cisco reported another critical vulnerability -- this one in devices running Cisco Wireless LAN Controller: "An unauthorized access vulnerability that could allow an unauthenticated, remote attacker to modify the configuration of the device." According to Cisco, a successful exploit of this vulnerability could "compromise the device completely."

Cisco also reported a vulnerability in its Aironet 1800 Series Access Point devices, which "could allow an unauthenticated, remote attacker to log in to the device by using a default account that has a static password." In other words, a hardcoded, static password -- though Cisco softened the blow by noting that: "By default, the account does not have full administrative privileges."

All of these vulnerabilities have been patched.

And in the "what the heck" department, Cisco apparently shipped "a number" of C-Series servers with the factory default password set to "Cisco1234," rather than the usual password, befuddling buyers who couldn't log in. The affected systems were manufactured between Nov. 17, 2015, and Jan. 6, 2016.

One less backdoor

In an official response to last month's reports about backdoors in Juniper Networks' products, the network security firm announced that it would be removing the Dual_EC pseudo-random number generator code that was reported to have been subverted by the National Security Agency.

"After a detailed review, there is no evidence of any other unauthorized code in ScreenOS, nor have we found any evidence of unauthorized code in Junos OS," wrote Bob Worrall, CIO at Juniper Networks, adding that Juniper would be making changes to the ScreenOS random number generation subsystem.

"We will replace Dual_EC and ANSI X9.31 in ScreenOS 6.3 with the same random number generation technology currently employed across our broad portfolio of Junos OS products. We intend to make these changes in a subsequent ScreenOS software release, which will be made available in the first half of 2016," he wrote.

ジュニパーネットワークスのNetScreenの裏口(2015年12月20日)とトレンドマイクロのNode.jsの裏口(2016年1月5日)と、さらにシスコの無線LANコントローラの脆弱性(2016年1月13日)がワンセットになっていた。 このターゲットてオレの顧客じゃんw

2015年9月7日トレンドマイクロ(中国)は、中国市場で展開する製品のライセンスや技術の著作権を含めたビジネスのすべてを、亜信科技(AsiaInfo)に譲渡する契約を交わした。
2015年12月20日ジュニパーネットワークスがNetScreenのVPNに裏口があることを発表
2015年12月末トレンドマイクロ(中国)の事業譲渡が2015年末に完了。
2016年1月5日トレンドマイクロがNode.jsの裏口があることを発表
2016年1月13日シスコが無線LANコントローラの脆弱性を発表
2016年1月22日 元SDN48で福田朱子さんのSNSに不正にログインしたとして、神奈川県警は不正アクセス禁止法違反容疑で、岐阜県庁職員の40代男を逮捕。

ここまでくると「ステート・オブ・ジ・アーツ」みたいな感。

CVE-2015-7755: Juniper ScreenOS Authentication Backdoor
SSG500 w
ユーザーIDとは無関係に裏口パスワードを使えばssh接続できたのか。なんなんだw

あ、裏口モニターにsnort使ってるし。
おい、いますぐJJ課のNetScreenの外にブリッジ型F/Wを設置して snortにFox-ITの検出ルールを組み込んでモニター開始しろ。

Fox-IT has a created a set of Snort rules that can detect access with the backdoor password over Telnet and fire on any connection to a ScreenOS Telnet or SSH service:

シスコの無線LANからネットに侵入してJJ課のVPNセグメントにジュニパーネットワークスのファイアーウォールに穴を開けてsshで侵入、トレンドマイクロのNode.jsの使って総務事務センターのPCを遠隔操作できてたわけかぁ。


ジュニパーネットワークスがネットスクリーン(ScreenOS)に2つの裏口があるとクリスマスに発表

これはちょっとぶったまげたわw

トレンドマイクロ(中国)、AsiaInfoに中国市場の全事業を譲渡
トレンドマイクロ(中国)、AsiaInfoに中国市場の全事業を譲渡 2015年9月7日
 トレンドマイクロ(中国)は、中国市場で展開する製品のライセンスや技術の著作権を含めたビジネスのすべてを、亜信科技(AsiaInfo)に譲渡する契約を交わした。事業譲渡は2015年末に完了する予定。今回の契約に関する諸条件は公開していない。
 AsiaInfoは、1993年設立の中国大手ITプロバイダ。通信事業者など、グローバル約10か国のおよそ10億ユーザーに対して、ITソリューション・サービスを提供している。トレンドマイクロ(中国)の事業を取得後は、セキュリティ専門の新会社「亜信安全」を設立する予定。AsiaInfoのネットワークセキュリティ技術と、トレンドマイクロのクラウド・ビッグデータセキュリティ技術を融合させ、情報セキュリティ分野の強化を図る。
 AsiaInfoのZhang Fan・セキュリティ事業部長は、今回の契約について、「今後のビジネス拡大における、より広域な市場の獲得のみならず、情報技術の開発を通じて、国家の安全を守るものだ」と説明。近年、中国政府は、セキュリティ分野に関する監視・規制を強めており、自主制御できる国産IT製品の導入を推進している。14年には、シマンテックとカスペルスキ―が、政府機関の調達リストから除外される事態が生じていた。
【トレンドマイクロ(中国)は、中国市場で展開する製品のライセンスや技術の著作権を含めたビジネスのすべてを、亜信科技(AsiaInfo)に譲渡する契約を交わした。事業譲渡は2015年末に完了する予定。】w
【2016年1月5日 トレンドマイクロがNode.jsの裏口があることを発表。】
なぜ2015年末から2016年明けのタイミングだったのか?その理由が明らかにw

投稿されたコメント:

コメント
コメントは無効になっています。