Shodan.io を使用してオンラインで脆弱なデバイスを自動的に検索し、Metasploit のエクスプロイト データベースを使用してコンピューターやガジェットを乗っ取る可能性のある Python コードが登場しました。
このスクリプトを実行すると、インターネットをクロールして、攻撃に対して脆弱な可能性のあるマシン(通常は未修正のセキュリティバグによるもの)を探し出し、自動的に制御を奪取します。高度なl33tスキルは必要ありません。
こんなに時間がかかったことに驚いています。
今週、Vectorと名乗る人物によってGitHubに公開されたこのソフトウェアは、「AutoSploit」と呼ばれています。このソフトウェアを使うと、大規模なハッキングが極めて容易になります。Shodan検索エンジン(APIキーが必要)でターゲットを収集した後、Python 2.7スクリプトは、それらに対してMetasploitモジュールを実行しようとします。
Metasploitはオープンソースの侵入テストツールです。ソフトウェアやその他の製品のセキュリティ上の欠陥を悪用してシステムから情報を抽出したり、デバイスのリモートコントロールパネルを開いて遠隔操作を可能にしたりするコードスニペットのデータベースです。Shodanを使用すると、インターネットに接続されたコンピューター、サーバー、産業機器、ウェブカメラなどのデバイスを検索し、開いているポートや潜在的に悪用される可能性のあるサービスを明らかにすることができます。
指先で操作できる...Autosploitツール
GitHub でホストされているリポジトリでは、「利用可能な Metasploit モジュールは、リモート コード実行を容易にし、リバース TCP シェルや Meterpreter セッションの取得を試みるために選択されています」と説明されています。
この種の自動化された攻撃は法的な問題を引き起こす可能性があるため、リポジトリには、簡単に追跡可能なマシンからコードを実行することは「OPSEC の観点から最善のアイデアではない可能性がある」という警告も含まれています。
セキュリティ業界の他の関係者は、これは一般的には最善のアイデアではないと主張しています。
子供たち
「これを公開する必要はありません」と、Tao Securityの創設者リチャード・ベトリッヒ氏はTwitterで述べた。「Shodanとの連携が、この脆弱性を際立たせています。スクリプトキディが公共システムを大規模に悪用できる状態にしておく正当な理由はありません。何かができるからといって、それを実行することが賢明であるとは限らないのです。これは悲惨な結末を迎えることになるでしょう。」
同時に、脆弱性スキャンと脆弱性の悪用を明確に結びつけることには、ある程度の価値があるかもしれません。この演習により、自動化はセキュリティを曖昧にすることで、セキュリティを破ってしまうことが明らかになりました。
Twitter経由で連絡を取ったベクター氏は、このコードはセキュリティコミュニティでかなり好評を得ているとThe Registerに語った。
「確かにこのツールを批判するコメントも目にしたが、そこに書かれていることは、何らかの目的で自動化を実現する他のあらゆる攻撃ツールにも当てはまる」とベクター氏は述べた。
「他のあらゆるものと同様に、情報が良い方向にも悪い方向にも使われる可能性があります」とセキュリティ研究者は付け加えた。「責任はそれを使う人にあります。私は情報の門番をするつもりはありません。情報は自由であるべきだと信じており、オープンソース全般の支持者です。」®
