ハッカーがデフォルトページ漏洩の脆弱性を見つける方法
攻撃対象領域には思ったより多くのシステムが何の設定もされないまま、デフォルト状態で放置されています。このようなデフォルトページにはハッカーが好む情報がたくさんあり、数多くのセキュリティ脅威はこのようなデフォルトページから発生します。
まずは、ハッカーが漏洩されたデフォルトページを通じてターゲットのインフラ情報を探し、分析する過程を調べてみました。デフォルトページは設置する際、基本的には見られるページとエラー発生のメッセージが示されるページがあります。Criminal IP(https://www.criminalip.io/ja)検索エンジンでクラウドサービスに関する様々なデフォルトページをいくつの検索フィルターを通じて見つけられます。
システムを少しでも運営した経験がある場合、アプリケーションの情報を知らなくても、基本的な常識だけでデフォルトページを見つけられます。基本的にCIPのIT資産検索(https://www.criminalip.io/ja/asset)で管理者ページまたは、デフォルトページにありそうなキーワードである‘System Information’を検索できます。公開されたウェブサーバーのみを検索するためには、‘System Information’キーワードと共にサーバーのステータスコードが200である場合のみをフィルタリングして検索できます。さらに、各国名コード(Country Code)と特定のサービスのポート番号で組み合わせると、より興味深い検索結果が出ます。
"System Information" status_code:"200"
デフォルトページ漏洩の脆弱性を検索した結果
HTML titleタグに‘System Information’という文字列を含めているウェブサーバーを検知しました。上のサイトはサイト情報(Site Information)、ファイルシステム・スペック(FileSystem Spec)、システムのアップタイム(System Uptime)などの情報を見せていて、システムの基本環境に対する情報を閲覧できます。
Criminal IPで見つけたSystem Information文字列が含まれていた
ウェブサーバーのデフォルトページ、システムの基本環境情報を閲覧できる
ウェブサーバーの デフォルトページ 漏洩の検索キーワード
"System Information" と共にデフォルトページで見つけられるキーワードは"Status"です。下の画像のように、HTML Titleが‘Status’であるサイトを検索してみると、様々なサイトが検索されます。その中で見つけた下のスクリーンショットのサイトは無線WiFiデバイスのデフォルトページまたは、管理者ページと推定されます。
titleが"Status"であるウェブサーバーを検索した結果
上のデフォルトページ漏洩のウェブサーバーにアクセスしてみると、ログイン認証もせず、システムへアクセスできました。このウェブサーバーは家庭および企業向けのデータ、ビデオおよび電話通信システムを提供するアメリカの通信デバイス会社のArris International Limitedの無線WiFiデバイスのデフォルトページでした。これは攻撃対象領域にデフォルトページが漏洩されたもので、デバイスの全ての行為をコントロールできるセキュリティ脅威を持っています。
無線Wifiデバイスのデフォルトページの脆弱性
無線Wifiデバイスのデフォルトページ漏洩の脆弱性
そこに、より詳しくデフォルトページ漏洩の脆弱性を検索するために他のキーワードを追加してみると、より詳細な検索が可能です。例えば、"Status"の前に"Panel"というキーワードを追加して検索範囲を狭めると、WiFiまたは、LTEデバイスとして予想されるシステムのデフォルトページに到達できます。
デバイスとして予想されるデフォルトページ漏洩のウェブサーバー
攻撃対象領域になり得るシステムのエラーページ
エラーページ はシステムにエラーが起こるとき、出力されるページです。システムごとに固有のエラーページがあるため、特定システムの主な情報を得ることもできます。その手法はデフォルトページ漏洩の脆弱性を見つける方と似ています。例として、ASP.NETウェブアプリケーションのエラーページを検索してみました。Criminal IP IT資産検索で常にASP.NETに登場するエラーの文字列である"Object reference not set to an instance of an object"を入力します。
Criminal IP IT資産検索でASP.NETシステムのエラーページの文章を入力した結果
Stack Trace内部のウェブアプリケーション情報
Stack Trace内部のウェブアプリケーション情報
クラウドに放置された デフォルトページ
クラウドサーバーでもデフォルトページ漏洩の脆弱性が放置されている場合が多いです。ファイアベース・クラウド・メッセージング(Firebase Cloud Messaging - FCM)はGoogleが無料で提供するメッセージの送信とプッシュ通知サーバーで、ユーザーのデバイスに設置されたアプリにメッセージの送信できるサービスです。Criminal IP IT資産検索(https://www.criminalip.io/ja/asset)でHTML titleに“Firebase Cloud Messaging”のキーワードがあるウェブサーバーを検索してみましょう。
Criminal IP IT資産検索で"title:Firebase Cloud Messaging"クエリーを検索した結果
上のように、漏洩されたFCMのデフォルトページを検知できます。また、時々このページにインスタンスIDトークン(Instance ID Token)情報が含まれている場合もあるが、このトークンはアプリのIDで推定されます。トークンの値または、APIキー漏洩は単純なデフォルトページ漏洩以上の深刻なハッキング被害を引きよこせます。詳しい内容は"APIキー 一つで起こる個人情報漏れ、そして造作"で説明いたしました。
次はデフォルトページ漏洩の脆弱性の中でも"AWSに放置されたデフォルトページのセキュリティ脅威"に関して投稿する予定です。
0コメント