最近の論文によると、CloudFlare、Prolexic、Incapsulaなどの人気の分散型サービス拒否攻撃防御プロバイダーによって保護されているウェブサイトの約70%の実際のIPアドレスが、新たに発見された欠陥に基づいて構築されたシンプルなウェブツールを使用することで明らかにできるという。
研究者らによると、クラウドベースのセキュリティプロバイダーが顧客の IP アドレスを隠そうとする取り組みを緩和する方法に関する研究の一環として公開されたツールにより、攻撃者から保護したい機密ウェブサイトの管理者が今や無防備になっているという。
クラウドセキュリティプロバイダーは、ドメイン名のDNS設定を変更することで、分散型サービス拒否攻撃(DDoS)のトラフィックを自社のインフラストラクチャにリダイレクトします。サーバーの実際のIPアドレスをクローキングすることで、サイトをホストしているマシンへの攻撃を困難にし、このプロセスを支援します。
明らかにこれらの防御を回避する新しい手法は、CloudPiercer ウェブスキャンツールに組み込まれた新しい「オリジン暴露」攻撃に基づいています。
これは、主著者のトーマス・ヴィッサーズ氏と同僚のトム・ヴァン・ゲーテム氏、ベルギーのルーヴェン・カトリック大学のウーター・ジョーセン氏、ニューヨークのストーニーブルック大学のニック・ニキフォラキス氏による論文「クラウドを回避する:クラウドベースのセキュリティプロバイダーのバイパス」[PDF]で説明されています。
ニキフォラキス助教授はVulture Southに対し、「半専用」の攻撃者が、一般的なセキュリティサービスによって保護されているほとんどのサイトを見つけてDDoS攻撃を仕掛けることができると語った。
「私たちの調査結果は、問題が深刻であることを示しています。私たちがテストした 17,877 件の CBSP 保護ウェブサイトのうち 71.5% が、評価対象のベクトルの少なくとも 1 つを通じて実際の IP アドレスを公開していました」とニキフォラキス氏は言う。
「何万ものサイトが現在、CloudFlare やその仲間を使っており、DoS 攻撃に対して安全だと考えているため、これは本当に問題だと考えています。
「我々が示しているのは、CloudFlare、Incapsula、および類似の企業を利用するウェブサイトの大半において、半専任の攻撃者が、被害者のサーバーが設置されている実際のIPアドレスと、CloudFlareが主張する設置場所とを突き止めることで、これらの企業が提供するセキュリティサービスを完全に回避できるということです。」
この論文では、いわゆるオリジン露出ベクトル8種類について詳述しており、そのうち4種類は新規のものです。これらは、一時的なDNS露出、SSL証明書、機密ファイル、そしてアウトバウンド接続のトリガーに関連しており、これらがCloudPiercerツールの基盤となっています。
著者らは、クラウドセキュリティプロバイダーのCloudFlare、Incapsula、Sucuri、Prolexic、DOSarrestをテストし、本稿の公開前に脆弱性について通知を受けていたと述べています。以下は、彼らの暴露内容の一部です。
したがって、原則的には、攻撃者が発信元の実際のIPアドレスを発見できれば、Webサーバーへのトラフィックを直接ターゲットにすることができ、CBSPのネットワークに存在するすべてのセキュリティメカニズムを回避することができます。… CBSPで保護されたウェブサイトのオリジンを露出させる可能性のある潜在的な脆弱性は数多く存在します。私たちはこれらの潜在的な脆弱性を「オリジン露出ベクトル」と呼んでいます。
ヴァルチャー・サウスは関係各社にコメントを求めた。
科学者らは、このツールが、DDoS 防御サイトを隠れ蓑にして活動を停止した LulzSec などのハッキングサイトを警察が捜査するのに利用できる可能性があるという「希望の光」を指摘している。
チームによれば、CloudFlare や Incapsula などのクラウドベースのセキュリティは、世界で最も人気のある 10,000 のサイトのうち 9% で使用されています。®
