Search Tip Archives

漏洩されたNGINX設定ファイルを変更できるセキュリティ脆弱性

今回のCIPブログ投稿では、Criminal IPを活用して漏洩されたNGINX設定ファイルを見つける方法を調べたいと思います。 NGINX設定ファイルとは? NGINXは、ウェブサーバーの種類の1つで、Apacheとともに最も多く使われるサーバーです。特に、今一番トラフィックが多いサイトのNetflixやDropboxなど、並べるのも難しいほど、かなり多くの有名サイトがNGINXを利用しています。NGINXの設定ファイルはNGINXサーバーを設定する形のガイドが書いてあるファイルで当該サーバーについての情報がありますが、ここにはハッキングの手がかりになる敏感な情報が含まれている可能性があります。 NGINXウェブサーバーの基本設定ファイル名は"nginx.conf"で、IT資産検索で当該キーワードを検索して設定ファイルを探せます。特に、"nginx.conf"キーワードに"title: index of"のフィルターを加えて検索すると、画像のようにディレクトリインデックスの脆弱性のあるサイトでnginx.confのファイルを探せます。 "nginx.conf" title: "Index of " Criminal IPのIT資産検索で"nginx.conf" title: "Index of

By Criminal IP|2022-10-28T00:23:38+09:002022-10-21|Tags: nginx|0 Comments

MS Exchangeゼロデイ脆弱性、Security OSINTで検知

2022年9月30日、MicrosoftはMS Officeのゼロデイ脆弱性を公表しました。Microsoft Exchange Server 2013, Exchange Server 2016 及び Exchange Server 2019 から新たな脆弱性が発見されたのです。今回の投稿では、Security OSINTツールを使って今度の MS Exchangeゼロデイ脆弱性の影響を受けるサーバーを検知する方法と実際にExploit可能な検知ケースを扱います。見つかった脆弱性はCVE-2022-41082,CVE-2022-41040の2つです。攻撃しようとするExchange Serverに認証されたAccessの権限がある場合、2つの脆弱性を同時に使ってサーバーにリモートコード実行（Remote Code

By Criminal IP|2023-02-10T10:55:03+09:002022-10-14|Tags: ゼロデイ, MS Exchange, MS Exchangeゼロデイ脆弱性|0 Comments

OpenVPNの脆弱性 : OSINTでovpnファイル流出を検知

今回の投稿では、GoogleハッキングなどのOSINTツールで OpenVPNの脆弱性を検知する方法およびファイル流出により有料VPNを無断で使えるセキュリティホールについて話します。 OpenVPNに欠かせないovpnファイル ovpnファイルはOpenVPNのプロトコルを使ってVPNを繋ぐ際に、必要な設定ファイルです。ファイルにはVPNサーバーのアドレスや認証のために使う暗号キーなどが含まれており、VPNを始めるにとても重要なファイルです。そのため、 ovpnファイルが外部に漏洩されていることは、割り当てられたユーザーではない他人が無断でVPNを使えるようになる OpenVPNの脆弱性だと言えます。有料 OpenVPNの脆弱性、Googleハッキング（OSINT）で検知 Googleハッキングで流出されたOpenVPNの脆弱性を見つけられます。Google検索エンジンの検索バーに下記のキーワードを検索すると、画像と同じウェブページが上段に示されます。 Index of /servers/openvpn Google検索エンジンに「Index of/servers/openvpn」で検索したOpenVPN脆弱性のGoogleハッキング結果 Index of

By Criminal IP|2022-10-04T14:27:56+09:002022-09-30|Tags: 脆弱性, OpenVPN, OVPNファイル|0 Comments

Googleハッキング vs Criminal IP、脆弱性の検知

今度の投稿では、タイトルに特定のキーワードが含まれているサイトのみを検索するGoogleハッキング（ Google Hacking ）のintitleフィルターと、Criminal IPのtitleフィルターの検索結果と方法を比べて説明します。 Googleハッキングとは？ Googleハッキング（ Google Hacking ）とは、ウェブサイトの構成やコンピューターコードにある脆弱性を探すためにグーグル検索とグーグルのアプリケーションソフトを使うハッキング技術を意味します。Google ハッキングを通じて収集できる情報は驚くほど多様で、一般的に引用符（””）を使ったキーワード検索、filetype、site、inurl、intitleなどのフィルターを活用して特定の条件で結果を絞り込む検索方法があります。ウェブ基盤にデータを集めるグーグルに比べ、Criminal IP（http://www.criminalip.io/ja）はIPやポートに基づいてデータを集めるが、収集された情報がウェブポートの場合はグーグルに似た結果あるいは、グーグルでも見えない結果が導かれることもあります。特に、Criminal IPでウェブサイトの＜title＞タグの内容を検索するもので、Googleハッキングで有用に使われるintitle:フィルターと同じ役割をするのがtitle:フィルターです。Googleハッキングで知られているいくつかのタイトル検索のコツをCriminal IPと比べて一緒に紹介します。 dead.letterを通じてディレクトリリスティングの脆弱性を探す intitle:index.of "dead.letter"

By Criminal IP|2023-03-06T21:44:30+09:002022-09-22|Tags: apache, Google Hacking, RDP|0 Comments

ワードプレスのCVE脆弱性：脆弱なワードプレスを検知

今回の投稿では、ワードプレスのCVE脆弱性のセキュリティパッチが行われない旧バージョンのワードプレスウェブサーバーを見つける方とワードプレスで作られたウェブページの脆弱性をスキャンする方について説明します。ワードプレスのCVE脆弱性とは？ワードプレス（WordPress）とは、世界中のウェブサイトの40%が利用しているウェブサイト製作および管理システムです。サイバー攻撃者がウェブサーバーを攻撃ターゲットとして選ぶ際、ワードプレスのCVE脆弱性パッチが行われない古いバージョンのウェブサーバーを探る場合もあります。ワードプレスで作られたウェブページはプライベートブログ、企業のブログ、企業の公式サイトまで様々な目的でつかわれるため、セキュリティパッチが行われていない脆弱なワードプレスはハッカーの狙いになります。 MITRE CorporationのCVE統計データによると、2004年から2022年9月、現在に至るまで発見されたワードプレスのCVE脆弱性は総合344個で、その中で実際に攻撃者がエクスプロイト可能なCVE脆弱性は11個です。ワードプレスのCVE脆弱性の種類発見されたワードプレスのCVE脆弱性を全部タイプ別に分類してみると、最も多いタイプは123個のXSS脆弱性で、次は48個のコード実行の脆弱性です。 XSS Http Response Splitting Execute Code Sql Injection Gain

By Criminal IP|2022-10-04T18:43:04+09:002022-09-13|Tags: ワードプレス, CVE, 脆弱性, tech stack|0 Comments

漏洩されたRedis Commanderが招くデータ侵害事故

Redis（Remote Dictionary Server）とは、2009年Salvatore Sanfilippoによって開発されたBSDライセンス基盤のオープンソースプロジェクトで、キーを介した完全一致の検索を通じてデータを照会するキー・バリュー型データベースです。RedisはメモリーベースのDBMSであるため、一般ディスクのストレージを使うデータベースに比べてより速いスピードを保証します。Hashes、List、Setなどの様々な資料型を扱い、データを柔軟に管理できるため、多くのところで使われています。代表的には主に、Facebook、Instagram、Tumblr、KakaoTalkなど、大量のメッセージをリアルタイムで処理すべきのシステムでResult Cacheとデータを保存するに使われています。さらに、小規模のサービスおよび早いレスポンスの処理のためのシステムでストレージとして使用されています。漏洩されたRedis Commander が招かれるデータ侵害事故 Redis CommanderとはRedisサーバーに保存されているデータベースを管理するに使えるNode.jsウェブアプリケーションです。Redisのすべてのデータ型をウェブ基盤で編集でき、自動完成機能と文書の入出力機能を通じてエンジニアの利便性を高めるGUIツールです。一方、認証もないまま外部に漏洩されたRedis Commanderはハッカーにとって便利なリモートデータの乗っ取りツールとして使われる可能性もあります。このようなRedis データベースの特性で、外部に漏洩されているRedis Commanderは不認可の外部ユーザーにもすべてのデータベースに対するコントロール権を渡せます。これは、非常に深刻なデータ侵害の事故へつながれることです。ファビコンでRedis Commanderサーバーを見つける方

By Criminal IP|2022-10-04T18:38:06+09:002022-09-06|Tags: Redis, Redis Commander, 攻撃対象領域, 攻撃対象領域管理|0 Comments

CIP Blacklist：8月5週目フィッシングおよび悪性ドメイン検索語

2022年8月5週目Criminal IPで検知されたフィッシングおよび悪性URLの検索語 CIP Phishing or Malicious URL Dorks ＊リンクをクリックすると、CIP検索結果ページへ移動しますバトルグラウンドのフィッシングサイト hxxps://thor00[.]newupdate[.]cyou/ WELLS FARGOのフィッシングサイト hxxps://www--wellsfargo--com--wf49329d48d6c[.]wsipv6[.]com/es/biz/ Uniswap仮想通貨取引所のフィッシングサイト hxxps://uniswap[.]fun LUNOのフィッシングサイト hxxp://munoto[.]azurewebsites[.]net/ Banco Bisaのフィッシングサイト

By Criminal IP|2022-09-02T17:38:26+09:002022-08-31|Tags: CIP Blacklist|0 Comments

インスタフィッシング詐欺：悪性リンクを確認する方

インスタフィッシング詐欺やアカウントのハッキングの問題は世界中のインスタグラムビジネスアカウントの持ち主を含め、全てのユーザーを対象により深刻になっています。ハッカーはどんどん巧妙で徹底な手法でユーザーを欺き、アカウントをハッキングしています。インスタフィッシング詐欺とは？知られているインスタグラムフィッシング手法の中で、最もよく使われる手法はフィッシングメールに添付されている偽のログインページを利用することです。ハッカーは迷惑メールでインスタグラムの知的財産ポリシーの違反事項をユーザーへ知らせます。ハッカーによるインスタグラムフィッシングメールではメールの送信24時間以内に知的財産ポリシー違反に対して疎明するかまたは、投稿を削除しなければならないと明示されています。これは、ユーザーがメールの虚実をチェックせず、フィッシング詐欺に騙される手口の一つです。ユーザーは著作物の侵害を犯してないことを証明するために、ハッカーが送った迷惑メールのアカウント認証URLをクリックし、自分のアカウント情報を入力します。このように、インスタグラムフィッシングメール攻撃でアカウントが奪い取られてしまうのです。知られているもう一つのハッキングの手口は有名なアカウントまたは、認証されたビジネスアカウントへ与えられるプロフィールの認証バッジを悪用する手法です。インスタグラムはインフルエンサー、ビジネスアカウントに青色のプロフィール認証バッジを与えます。ハッカーはこの特性を悪用して一般アカウントのユーザーに「認証バッジの付与を検討しておりますので、案内されたページでログインし、アカウントの所有者であることを認証してバッジをお申し込んでください。」のように要求します。むろん、案内されたページはハッカーによる偽造された偽のインスタグラムフィッシングURLであり、アカウントとパスワードを入力する際、アカウントが奪い取られます。ハッカーが利用するインスタフィッシング詐欺の悪性リンクを見つける Criminal IPのアセット検索（https://www.criminalip.io/ja/asset）でインスタグラムの本当のログインページを偽造したフィッシングページを見つける方法は次のようです。実際のインスタグラムのログインページ Titleを調べてみると、"Login・Instagram"という文字列を使っていることがわかります。実際のインスタグラムのログインページのタイトル、Login・Instagramの文字列になっているハッカーはできる限り、本物のインスタグラムのログインページに似たページを作り出した可能性が高いです。アセット検索でTitleフィルターを利用して"title:Login Instagram"クエリーを検索してみると、下のように本物のInstagramログインページのサーバーと怪しい結果が一緒に出てきます。 https://www.criminalip.io/ja/asset/search?query=title%3ALogin+Instagram 合計87台のサーバーが検索されました。この中には、ハッカーが利用する偽造されたログインページが含まれています。

By Criminal IP|2022-10-04T14:59:23+09:002022-08-18|Tags: ドメイン, フィッシング, フィッシング詐欺, 悪性リンク|0 Comments

HTTP ステータスコード：脆弱性を表すページの検索

HTTP Status code（ HTTP ステータスコード）とは HTTP リクエストの成否をサーバーから教えるコードであります。ステータスコードは大きく5クラスに分けられます。各詳細コードでクライエントのリクエストに対するサーバーからのレスポンスの意味を表します。 1xx（情報）：リクエストは受け取られ、処理は継続される。 2xx（成功）：リクエストは受け取られ、理解され、受理された。 3xx（リダイレクション）：リクエストを完了させるために、追加的な処理が必要。 4xx（クライアントエラー）：クライアントからのリクエストに誤りがあり、リクエストを処理できない。 5xx（サーバーエラー）：サーバがリクエストの処理に失敗した。 status_codeフィルターを活用したHTTPステータスコードごとのページの検知 Criminal IP アセット検索（https://www.criminalip.io/ja/asset）の Status_code

By Criminal IP|2022-10-04T14:53:56+09:002022-08-09|Tags: ステータスコード, 脆弱性, HTTP status code, status code|0 Comments

meta description 検索で特定のWEBサイトを検知（漏洩された SCADA サーバー）

WEB サイトを作る際には、ワードプレスのようなツールを利用したり、直接コーディングをします。どのような手法を活用するがウェブサイトの制作で欠かせない言語は HTML です。HTML の中では meta tag という要素があります。meta tag とは、WEB サイトに関する核心の情報が要約された tag で、WEB サイトの照会を高めるために必要な要素の一つです。Criminal IP（https://www.criminalip.io/ja）では meta tag の一つである meta description 検索フィルターを提供します。フィルターを活用して HTML meta

By Criminal IP|2022-08-04T18:15:36+09:002022-07-25|Tags: ウェブサイト, クリミナルアイピー, メータータグ, Criminal IP, 産業制御システム, ICS, meta description, meta tag, SCADA, Search Tip, WEB|0 Comments