アクセスログで見つけた攻撃事例

 (nishtahir.com)
1 ポイント 投稿者 GN⁺ 2024-01-29 | 1件のコメント | WhatsAppで共有

攻撃者のアクセスログ分析

  • 公開インターネットにIPを露出すると、悪意あるトラフィックが即座に流入する。
  • よく見られる攻撃タイプの1つは、.env ファイルを探すディレクトリトラバーサル攻撃である。
  • 攻撃者は AWS 認証情報や設定ファイル、Git リポジトリなど、ほかの一般的なファイルも探索する。
  • 管理者が誤って公開してしまう可能性のある一般的なディレクトリを探す攻撃もある。
  • 攻撃者はまた、一般的なリモートアクセスおよび設定ツールも見つけようとする。

Shellshock

  • Shellshock 脆弱性を悪用する攻撃が確認された。
  • この脆弱性は、脆弱なバージョンの bash を使用して CGI スクリプトを実行するWebサーバーを標的にする。
  • 攻撃者は HTTP_USER_AGENT 環境変数に関数を挿入し、任意のコマンドを実行できる。

LuCI Injection

  • OpenWRT ルーターの LuCI Web インターフェースを標的とする攻撃が確認された。
  • この攻撃では、リモートサーバーでホストされているシェルスクリプトをダウンロードして実行しようとするコマンドが注入される。

Zyxel Injection

  • Zyxel デバイスで利用可能な脆弱性を悪用していると見られる攻撃が確認された。
  • この攻撃では、zhttpd を利用して URL にシェルコマンドを挿入する。

GN⁺の見解:

  1. この記事は、公開IPに対するサイバー攻撃の多様性とその危険性を示すことで、セキュリティの重要性を強調している。
  2. Shellshock のような古い脆弱性が依然として悪用されていることを示しており、システムの継続的な更新と脆弱性パッチ適用の重要性を改めて認識させる。
  3. 攻撃者が一般的なツールやディレクトリを標的にしている点は、必要最小限のサービスのみを公開し、必要に応じて認証やIP制限を追加することの重要性を強調している。

関連記事

1件のコメント

 
GN⁺ 2024-01-29
Hacker Newsのコメント
  • 攻撃者が新しく発行された証明書を監視して標的を見つけている点は興味深い。Let's Encryptで証明書を取得してから数時間以内に、サーバーに数百件の接続試行が発生した。新しいサーバーはインターネットに公開される前に、可能な限り早くセキュリティを強化すべきだという教訓がある。
  • 以前はセルフホストのサイトを管理しながらアクセスログを確認し、IDSを使って攻撃の試行にフラグを付けていた。しかし、ログ確認やIDSの費用支払いはやめた。その代わり、一般的な脆弱性や攻撃を要約した有用なコンテンツを見つけてサーバー管理に活用し、迅速なパッチ適用サイクルを優先するのがよい。ログは問題発生後の診断に非常に役立つ。
  • 筆者は自分がセキュリティ専門家ではないと述べたうえで、記事の最初の例はディレクトリトラバーサルではなく、認証情報および設定の発見だと指摘している。ディレクトリトラバーサルとは、攻撃者がWebルートの外に出たり、サーバーに通常のディレクトリ外のものを提供させたりする技術を意味する。
  • サーバーでfail2banを動かし、サイトが提供する機能に特化した攻撃を捉えるためにカスタムjailを追加することが重要だ。fail2banのデフォルト設定が今でも有効かどうかを確認すべき時期だ。
  • 多くの攻撃が敵対的な国家から来るのが問題だ。議論の余地はあるが、取引できない国々のIPレンジをブロックするのは有用かもしれない。この方法で新しいサービスに対するあらゆる探索を遮断できた。
  • 約1年間、自作のHTTP/Sサーバーを運用していて、開いているポート(22、80、443)には大量の攻撃者トラフィックが来ていたが、攻撃者が実際に何を試しているのか分析する時間はなかった。この記事は多くの情報を提供してくれる。
  • AWSでこのようなログを受け取っているなら、AWS WAFをVPCの前段に配置して自衛することを勧める。コストもそれほど高くなく、多くの問題を防げる。
  • 長年にわたりさまざまな企業のWAFを管理してきた経験から、DNSをCloudflareに移し、いくつかのWAFルールをサイトに適用することが問題解決の助けになると助言している。WAFは万能薬ではないので、アプリケーション自体も攻撃に備えて堅牢化されている必要がある。
  • 管理しているWebホストで最も一般的な攻撃の試行はWordPress関連だが、筆者はそれに触れていない。おそらく筆者はWordPressのコンテンツをホスティングしていて、通常トラフィックと攻撃を区別できなかったのかもしれない。
  • 「ディレクトリトラバーサル」という用語ではなく、「ディレクトリ列挙」が正しい表現だ。トラバーサルは通常、../.. / のようなパスを使ってWebルートの外に出ることを意味する。