Criminal IPで確認した中国のHTTP File Server に隠されている新たなマルウェアサイト

NAS セキュリティの問題としてキューナップ（QNAP）とシノロジー（Synology）などがよく論ぜられています。CVEで公開される脆弱性以外にもインターネットで無防備で漏洩され、簡単な総当たり攻撃によって手軽に NAS の重要資料が流出されています。

最近ではこのような常用 NAS 製品以外にも、オープンソースやフリーウェアで使用されている簡易 NAS にもたくさんの問題が指摘されています。代表的な例として HFS HTTP File Server Files があります。何度のクリックで設置され、ファイルをドラッグするだけで、様々なファイルを簡単にアップロードでき、外部でも URL で容易にファイルを共有できるなど、設置と利用がとても簡単であるため、個人は無論、中小規模の企業でもよく使う便利な NAS として知られています。下のイメージはサーバーを起動した画像です。

HFS HTTP File Server Files の起動画像

 

しかし、基本的な認証でもしかけてある Synology や Qnap とは違って、この HFS サーバーの重大な問題は、デフォルト状態では ID/PW の認証さえないまま使用される場合がたくさんあるということです。すると、 外部の誰でもこのファイルサーバー内にあるすべてのファイルへ簡単にアクセス・ダウンロードでき、このような状態はデータの流出へつながられます。下の画像は Criminal IP で HFS port:8080 を検索して世界中に漏洩された HFS サーバーを照会したページです。このテキストが書かれた時点を基点として約1500台のサーバーが外部に漏洩されていることを確認できます。

Criminal IP の “HFS Port:8080” 検索結果、世界中に漏洩された HFS サーバー

何台のサーバーを確認してみたところ、以下のように、Windows 正規品ファイルなどが漏洩されたまま運営されていることを見つけ、mkv ファイルの動画がそのままアップロードされていることも発見できました。

このような HFS サーバーの漏洩イシューよりも深刻なことは、個人や中小規模の企業が過ちで漏洩したものがマルウェア配布の拠点として使用される可能性があるということです。特定のサーバーをハッキングし、HFS サーバーを起動してそこでマルウェアをアップロードしておくと、ハッキングされた他のサイトへアクセスした際、この HFS サーバーでリダイレクトし、マルウェアに感染させるか、悪用のメールに含まれている悪用リンクをクリックした際、ここに含まれた HFS サーバーのマルウェアを実行させることもできます。

ExploitwareLabs によると、中国の HFS サーバーで avp.exe というマルウェアと api.aspx というウェブシェル（Webshell）がアップロードされていることが確認されたとのことです。このファイルは VirusTotal で9のワクチンで診断されているが、韓国を含むいくつかの国では未だに全然検知されていないことが分かります。（ちなみに、このような内容が知られた後、中国で位置されているマルウェアの配布 HFS サーバーは現在、すべての閉鎖されたか、ID/PW 認証がしかける状態に変更されました。）

8080 ポート以外、他のポートを使用する HFS サーバーも以下のように、Criminal IP のアセット検索機能の favicon フィルターを活用して見つけ出せます。HFS サーバーで発見された favicon のマウスオーバーポップアップをクリックしたり、favicon: 7ea0af85 を直接検索ボックスに入力したりすることで多様な形の HFS サーバーを見つけられます。

Criminal IP で favicon 検索機能で見つける HFS サーバー

Criminal IP で favicon 検索機能で見つける HFS サーバー

中国 HFS サーバーのみを検索したい場合は、country:CN を含むと中国のサーバーのみを検索できます。

次のように、フィルターを応用して様々な方法で漏洩された HFS サーバーを検索できます。

その他の国も検索できます。

このような問題は単に HFS サーバーに限定された問題ではありません。HFS サーバー以外にも、色々な製品の NAS やファイルサーバーが存在します。個人や企業は自分または、会社のファイルサーバーが認証を仕掛けず、外部に漏洩されているかを定期的に点検する必要があります。