Get a network qualification

資格を取得することでネットワークエンジニアへの道が開けます。
ネットワークエンジニアの資格取得に役立つテキスト・勉強法を自身の体験を交えて紹介します。
是非、資格を手に入れてネットワークエンジニアになろう。

資格を手に入れてネットワークエンジニアになろう

スポンサーリンク


15
2014  22:26:58

元ネットワークエンジニアの某脆弱性対応に追われる日々・・・スキルがないからマジで大変だ><

何気にfc2ブログの管理画面のインターフェイスが知らない間に変更されていた罠^^;。
いつもと勝手が違うからちょっと戸惑ってしまったジャマイカwww。

まあ、それはさておき、本日は今私が業務で取り組んでいるある脆弱性への対応についてご報告致します。
もっとも、例によって極力守秘義務違反にならないように努めますので悪しからず(ダマレw)。

今回取り上げるお話は、一般ユーザの方にはあまり馴染みのない技術かもしれません^^;。
マスコミでも殆ど、取り上げられていない話題ですからね^^;。

むしろ、最近だとIE(インターネットエクスプローラー)で発見されたバージョン6~11に及ぼす脆弱性の方が遥かに話題性が高いですよねw。

もっとも、IEの方はぢつはソレほど大きな問題ではなく、事情をよく知らないマスコミが挙って大袈裟に報道したから、みんなブラウザを使っちゃダメだとか過剰反応する事になったんだけどね^^;。

結局の所、蓋を開けてみれば、ソレほど大きな被害にはなっていない模様^^;。
即座に修正パッチをWindowsUpdateで提供したから、被害を最小限に食い止める事も出来たしねw。

まあ、噂では開発元のマイクロソフトがその脆弱性に気が付いてはいたものの、公表していなかっただけとも言われているし、実際の所、どこまで不正使用される可能性があるのかはよくわかってはいませんからね^^;。

つまり、マスコミも我々一般ユーザも大いに踊らされただけだと言えます(ちょw)。
もっとも、俺はIEなぞとうに見限って(笑)いるから、被害に遭いようがないんだけどね(ダマレゴミwww)。

ぶっちゃけ、ただ言われるがままにIEを使い続ける人が多すぎるんだよ^^;。
別にマイクロソフトを批判するわけじゃないけど、他にも沢山ブラウザはあるんだから、色々試してみて気に入ったものを使えばソレで済む話なんだよw。

なのに、Firefoxの使用率たった14%とか、こんなにも人気なかったのかwww。
軽くショックを受けますた(ガーソorz)。

まあ、俺はスレイプニルとかも使っているから、時々によって使い分ける浮気者(笑)だけどね(シネヨwww)。

とりま、猫も杓子もIEってのが何とも気味悪いわwww。

さて、話を戻しますが、先に述べた通り、今私が脆弱性対応に追われている対象は主に企業ユーザを対象としたものになります。
まあ、個人でWebサーバで自宅鯖とかやっている人には何気に関係ある話なんだけどね^^;。
特に、自鯖でWebショッピングサイトとかを構築・運営している人とかには、サーバアカウントを乗っ取られる可能性のある致命的バグと言えます><。

但し、レンタルサーバ会社とかでサーバを借りて構築している場合は、会社で既に対策済みだったりするので、ソレほど恐れる事はないのかもしれません^^;。
それでも、念の為、サーバ環境を調査する方が良いに越した事はありませんけどね^^;。

コレが企業なら、不正にサーバにアクセスを許し、顧客情報を盗まれたり、またデータベースに侵入を許したりする可能性があるので、放置すると取り返しの付かなくなる可能性があります><。

この致命的なバグが発見された事で、様々な企業でその対策が急務となっているのです。

今回問題となっているのは、Webサーバ構築時によく利用されているApacheというWebサーバアプリケーションで利用するソフトウェアになります。

Apacheそのものに脆弱性があるわけではないので、そこはご理解頂きたく存じます。
また、他にも様々なソフトウェアで用いられているものになります^^;。
だからこそ、その影響範囲は広く、その対応が急務となっているのデス><。

後ほど述べさせて頂く「Tomcat」もそのうちの一つとなります^^;。

普段意識する事がないため、耳慣れない人も多いかと存じますが、ITエンジニアの方ならご存知の方もおられる事でしょう。

このApacheでJava のウェブ アプリケーションを作成するのに「Apache Struts(アパッチストラッツ)」と言うソフトウェアを用いるのですが、そのソフトウェアで致命的なバグが発見された事で、そのソフトウェアを導入しているサーバに対策を施す必要が生じたわけです^^;。

企業等でWebサーバを構築・運用・保守している場合、今回の脆弱性で被害を被る可能性は多いにあるかもしれません。
最悪の場合、アドミニ権限やroot権限を奪われる可能性があります><。

具体的にはApache Strutsで実行されるClassLoader というオブジェクトが脆弱性により不正操作される可能性があり、それによって、管理者権限のIDやパスワードが盗まれる可能性があります><。

正直、こんな恐ろしいバグを放置するのは自殺行為に等しいです><。
一刻も早い対策が必要になります><。

幸いな事にバージョン2以降は修正パッチが提供されているので、それを当てれば一先ず脆弱性はなくなります。
ただ、バージョン1を利用している場合はサポート対象にならないので、自衛手段を講じる必要があります><。

現状、何らかの事情でサーバに導入しているApache Strutsのバージョンアップを行えない企業が沢山あり、そのような企業向けへの修正パッチは現状提供されておりません><。
また、今後も提供される予定はないようです><。

よって、現時点(2014年5月15日)では、ローカルホストにアクセス出来ないよう、Windowsファイアウォールやiptables等でWebサーバへのアクセスを完全にシャットアウトするくらいしか手がありません><。

方法としては、Apache Strutsが導入されているWebサーバそのものにアクセス制限を施すか、ファイアウォールでの制限を掛けるかに大別されます。

もっとも、Windows サーバならこの他にもドメイン環境によるグループポリシーによる制限も可能ですし、Linux等ならiptablesを用いた制限を行う事が出来ます。

いずれにせよ、何らかの方法でWebサーバへのアクセスを拒否しないと、例え不正ユーザであっても不正コードにより設定情報を奪う事が可能になっている状態なのです><。

コレではいくらログイン認証を施しても、ローカルホストへの通信を開放している以上、鍵の掛かっていないドアに等しく、Javaの不正コード実行により設定されている情報が筒抜けになってしまうのです><。

つまり、ローカルホストへの道を閉ざせば、一応それ以上の侵入を防ぐ事が出来るわけです^^;。
ただ、通信をブロックするIPアドレスやポートを逐一設定するのはめどいけどね(ダマレwww)。

まあ、ぶっちゃけ、サーバ管理者のみ通信を許可してそれ以外は全て80番ポートを閉じちゃえば済む話なんだけどね^^;。

問題はそれらをどうやって設定するかだ(ちょw)。
いや、俺のようなノースキル・ノーライフ(ヲィw)なへっぽこエンジニア(笑)にアクセス制限を掛ける設定なんて出来るわけないジャン(だめぽwww)。
何気に、某アヌメネタを入れた罠(ニヤw)。

知ってる人なら思わずニヤリ(笑)とした事でしょう(ダマレクズwww)。

いや、コレからTomcatなるWebサーバアプリケーションでApache Strutsの影響を排除するアクセス制限を掛けなければならないんだけど、設定ファイルのxmlファイルの記述方法がわからなくて今必死で調査していたりする(シネヨwww)。

バージョンを2に上げられたら修正パッチを当てれば済むんだけど、今入っているのがバージョン1でサーバの稼動事情からバージョンを上げられないという事なので、泣く泣く調査作業に追われているわけですorz。

こんなゴミ以下(笑)のレベルでも一応SE名乗っているんだから、ほんと世の中舐めてるよね(まったくだwww)。

わたしなんぞより遥かに優秀な方がSE目指しているってのに、ほんとその方に申し訳なさ過ぎる(イイカラダマレwww)。

いや、こんなのでもSEなんだから、その方ならきっと余裕でなれると思うんだけど・・・^^;。

ぢつは密かに応援していたりするので、是非頑張ってね(ダマレw)。
今の環境から抜け出したいならチャンスを掴むんだ(ヲマエごときが偉そうにイウナwww)。

まあ、現状はこんなの(笑)が危なっかしい作業している有様なんだけどね^^;。
これの一体どこがITエンジニアなんだwww。

もし、間違った知識で作業して、オペミス発生させたらマジで洒落にならん><。
徹底的に設定方法を調査して、確実に作業せねば・・・。

勿論、作業方法についてベンダーに問い合わせたり、手順書を作成してレビューを通した上で作業しなければならないのは言うまでもないよねw。

いや、対象サーバはWindowサーバなんだけど、Windowファイアウォールの設定変更以外で作業するようにお達しがあったので、今作業方法をからっぽ(笑)の頭で必死に考えていたりします^^;。
どうも、サーバに標準搭載のファイアウォールでは心許ないみたいデスorz。

ただコレらの対応は応急処置に過ぎないので、それで完全な対策とはなりませんけどね^^;。
取り敢えず、入り口を塞いでしまえば何とかなるんじゃないの的(笑)な安易な対策ですからね・・・。

ソレでも何もしないよりはマシだと思われ^^;。

まあ、今回の経験をチャンスだと捉えて、色々思考錯誤しながら設定方法を模索していこうと考えています><。

きっと、他にもApache Strutsの脆弱性に苦しめられている方がおられると思いますが、少しでも多くのサーバが不正アクセスの憂き目に遭わないよう尽力していきましょう><。

って俺、今月末某試験あるんだけど、こんな業務に追われっぱなしで果たして大丈夫なのだろうか・・・。
対応しなければならないサーバが多すぎて俺涙目www。

スポンサーリンク


 業務報告

0 Comments

Leave a comment