デフォルトページ漏洩で発生するセキュリティ脅威

2022.08.23 20:31

デフォルトページとは、システムが活性化された状態で攻撃対象領域に放置された初期設定のページを意味します。全てのシステムは設置してから最初に稼働されるデフォルトページがあります。デフォルトページでは初期システムを設定するなど、様々な設定作業を行えます。

ハッカーがデフォルトページ漏洩の脆弱性を見つける方法

攻撃対象領域には思ったより多くのシステムが何の設定もされないまま、デフォルト状態で放置されています。このようなデフォルトページにはハッカーが好む情報がたくさんあり、数多くのセキュリティ脅威はこのようなデフォルトページから発生します。

まずは、ハッカーが漏洩されたデフォルトページを通じてターゲットのインフラ情報を探し、分析する過程を調べてみました。デフォルトページは設置する際、基本的には見られるページとエラー発生のメッセージが示されるページがあります。Criminal IP（https://www.criminalip.io/ja）検索エンジンでクラウドサービスに関する様々なデフォルトページをいくつの検索フィルターを通じて見つけられます。
システムを少しでも運営した経験がある場合、アプリケーションの情報を知らなくても、基本的な常識だけでデフォルトページを見つけられます。基本的にCIPのIT資産検索（https://www.criminalip.io/ja/asset）で管理者ページまたは、デフォルトページにありそうなキーワードである‘System Information’を検索できます。公開されたウェブサーバーのみを検索するためには、‘System Information’キーワードと共にサーバーのステータスコードが200である場合のみをフィルタリングして検索できます。さらに、各国名コード（Country Code）と特定のサービスのポート番号で組み合わせると、より興味深い検索結果が出ます。

"System Information" status_code:"200"

https://www.criminalip.io/ja/asset/search?query=%22System%20Information%22%20status_code:%22200%22

Criminal IPで System Information キーワード検索で
デフォルトページ漏洩の脆弱性を検索した結果

HTML titleタグに‘System Information’という文字列を含めているウェブサーバーを検知しました。上のサイトはサイト情報（Site Information）、ファイルシステム・スペック（FileSystem Spec）、システムのアップタイム（System Uptime）などの情報を見せていて、システムの基本環境に対する情報を閲覧できます。

Criminal IPで見つけたSystem Information文字列が含まれていた
ウェブサーバーのデフォルトページ、システムの基本環境情報を閲覧できる

ウェブサーバーのデフォルトページ漏洩の検索キーワード

"System Information" と共にデフォルトページで見つけられるキーワードは"Status"です。下の画像のように、HTML Titleが‘Status’であるサイトを検索してみると、様々なサイトが検索されます。その中で見つけた下のスクリーンショットのサイトは無線WiFiデバイスのデフォルトページまたは、管理者ページと推定されます。

https://www.criminalip.io/ja/asset/search?query=title:%22Status%22%20status_code:200

デフォルトページ漏洩お脆弱性を見つけるために、
titleが"Status"であるウェブサーバーを検索した結果

上のデフォルトページ漏洩のウェブサーバーにアクセスしてみると、ログイン認証もせず、システムへアクセスできました。このウェブサーバーは家庭および企業向けのデータ、ビデオおよび電話通信システムを提供するアメリカの通信デバイス会社のArris International Limitedの無線WiFiデバイスのデフォルトページでした。これは攻撃対象領域にデフォルトページが漏洩されたもので、デバイスの全ての行為をコントロールできるセキュリティ脅威を持っています。

Criminal IP 検索で見つけたArris International Limitiedの
無線Wifiデバイスのデフォルトページの脆弱性

Criminal IP 検索で見つけたArris International Limitiedの
無線Wifiデバイスのデフォルトページ漏洩の脆弱性

そこに、より詳しくデフォルトページ漏洩の脆弱性を検索するために他のキーワードを追加してみると、より詳細な検索が可能です。例えば、"Status"の前に"Panel"というキーワードを追加して検索範囲を狭めると、WiFiまたは、LTEデバイスとして予想されるシステムのデフォルトページに到達できます。

https://www.criminalip.io/ja/asset/search?query=title:%22Panel%20Status%22

Criminal IPで title:"Panel Status" クエリーで検索した結果

Criminal IPで title:"Panel Status" クエリーを検索した結果の中で
デバイスとして予想されるデフォルトページ漏洩のウェブサーバー

攻撃対象領域になり得るシステムのエラーページ

エラーページはシステムにエラーが起こるとき、出力されるページです。システムごとに固有のエラーページがあるため、特定システムの主な情報を得ることもできます。その手法はデフォルトページ漏洩の脆弱性を見つける方と似ています。例として、ASP.NETウェブアプリケーションのエラーページを検索してみました。Criminal IP IT資産検索で常にASP.NETに登場するエラーの文字列である"Object reference not set to an instance of an object"を入力します。

https://www.criminalip.io/ja/asset/search?query=%20Object%20reference%20not%20set%20to%20an%20instance%20of%20an%20object

Criminal IP IT資産検索でASP.NETシステムのエラーページの文章を入力した結果

検索されたエラーページをみると、エラーのソースコードが一部漏洩されて、エラーの時点に関するスタックトレース（Stack Trace）ではウェブアプリケーションの情報を得られます。

エラーぺーじに漏洩されているソースコードの一部と
Stack Trace内部のウェブアプリケーション情報

クラウドに放置されたデフォルトページ

クラウドサーバーでもデフォルトページ漏洩の脆弱性が放置されている場合が多いです。ファイアベース・クラウド・メッセージング（Firebase Cloud Messaging - FCM）はGoogleが無料で提供するメッセージの送信とプッシュ通知サーバーで、ユーザーのデバイスに設置されたアプリにメッセージの送信できるサービスです。Criminal IP IT資産検索（https://www.criminalip.io/ja/asset）でHTML titleに“Firebase Cloud Messaging”のキーワードがあるウェブサーバーを検索してみましょう。

https://www.criminalip.io/ja/asset/search?query=title:Firebase%20Cloud%20Messaging

Criminal IP IT資産検索で"title:Firebase Cloud Messaging"クエリーを検索した結果

Firebase Cloud Messagingシステムのデフォルトページ漏洩のケース

上のように、漏洩されたFCMのデフォルトページを検知できます。また、時々このページにインスタンスIDトークン（Instance ID Token)情報が含まれている場合もあるが、このトークンはアプリのIDで推定されます。トークンの値または、APIキー漏洩は単純なデフォルトページ漏洩以上の深刻なハッキング被害を引きよこせます。詳しい内容は"APIキー一つで起こる個人情報漏れ、そして造作 "で説明いたしました。

次はデフォルトページ漏洩の脆弱性の中でも"AWSに放置されたデフォルトページのセキュリティ脅威"に関して投稿する予定です。

データの提供

Criminal IP
▶ https://www.criminalip.io/ja

ご参照

https://blog.criminalip.io/ja/2022/07/19/api-key-leak/

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

1000 / 1000