独占記事:運が悪いと思われている?Akamaiのセキュリティ専門家を騙そうとして、うっかり失敗したスクリプトキディを想像してみてください。
米国に拠点を置く世界的ウェブ大手のシニアセキュリティレスポンスエンジニア、ラリー・キャッシュダラー氏は先週末、自身の個人ウェブサイトのログに奇妙な点があることに気づいたと語りました。さらに調査を進めたところ、誰かがリモートファイルインクルード(RFI)の脆弱性をスキャンしていた痕跡が見つかりました。
公開サーバーを担当する人なら誰でも、これらのサーバーが悪意のある人物、ボット、そしてセキュリティ研究者による継続的なスキャンと調査の対象になっていることを知っているでしょう。しかし、今回のケースでは、Cashdollar氏が本日、ウェブサイト管理者やウェブアプリ開発者への注意喚起、あるいは警告として、調査結果を分かりやすくまとめてくれました。何よりも、ソフトウェアがRFIに対して脆弱ではないことを確認する必要があります。さもないと、情報セキュリティエンジニアのウェブサイトを乗っ取ろうとしたのと同じ愚か者の手に落ちる可能性があります。
彼はThe Register紙に対し、サイトのログには、攻撃者がRFIホールを探っていた様子が記録されていたと語った。このホールは、ウェブアプリケーションを騙してリモートから悪意のあるスクリプトを取得・実行させるためのものだった。今回のケースでは、この悪質な人物は、Cashdollarが彼のサイト用に作成したカスタムツールを使ってファイルを読み込もうとしたが、失敗したという。
「私のログエントリを見ると、彼らはウェブサイトを解析してフォーム変数を探し、それらの変数がリモートファイルのインクルードを許可しているかどうかを自動的にテストしているようだ」とCashdollar氏はEl Regに語った。
「これは、フォーム入力変数を解析し、その変数への URL を指定して、コンテンツが含まれて実行されるかどうかを確認できる、あらゆる Web サイトに対する汎用テストです。」
攻撃者にとって残念なことに、Cashdollarはログを利用して、攻撃者がロードしようとしていたペイロードへのGETリクエストを追跡していました。ペイロードとは、サーバーに関する情報を収集しようとするスクリプトです。このペイロードと、ハッカーがコマンドを実行して脆弱なウェブサイトを乗っ取るために用意していた他のファイルを解析することで、Cashdollarは犯罪者のメールアドレスと、犯罪者が好んで使用する言語であるポルトガル語も抽出することができました。
RFIエクスプロイトは通常、ウェブサーバーの乗っ取りを目的として実行されますが、今回のケースでは、Cashdollarは攻撃者が別の手段を講じていたと考えています。つまり、ファイルインジェクションの脆弱性を悪用し、サイトをフィッシングの拠点に仕立て上げようとしていたのです。攻撃者が使用したスクリプトには、被害者のサーバー上に、有名な欧州銀行のサイトを模倣したHTMLファイルを作成するコマンドが含まれていました。
言い換えれば、攻撃者は RFI の脆弱性を探っていたのです。この脆弱性を利用すると、正規の銀行のログイン Web ページを装ったフィッシング ページをホスト サーバーにひそかにインストールし、被害者をそれらのページに誘導して、偽の Web ページにログインしようとしたときに銀行口座の認証情報を収集できるようになります。
サーバーのリモートログインはroot:パスワードじゃないですよね? いいですね。データはそのまま残せます。ところで、IoT機器はどうですか?
続きを読む
「RFIの脆弱性を発見した後、攻撃者がシステムで実行できるあらゆることの中で、暗号通貨マイナーをインストールしたり、システムへのアクセスで収益を得る他の手段を使うのではなく、フィッシングランディングページをアップロードすることを選んだのは興味深いことです」とキャッシュダラーは説明した。
「これは、フィッシングが認証情報や被害者の情報を盗み出す、利益率が高く、非常に効果的な方法であることのさらなる証拠です。」
Akamai のセキュリティ エンジニアはEl Regに対し、管理者にとって、自身の経験から得た大きな教訓は、ログの監視、サイト管理ツールへのパッチ適用、RFI に悪用されない Web コードの記述の重要性だと語った。
「アプリケーションのパッチが最新であることを確認してください」とキャッシュダラー氏はアドバイスしています。「コンテンツ管理やサイト配信に使用しているソフトウェアで発見された新たな脆弱性を常に把握し、ベンダーから新たな脆弱性が発表されたらパッチを適用してください。」®
