ソフトウェアパッケージバンドルより発生するウェブサーバー脆弱性

2022.11.08 23:25

オープンソースウェブサーバー、特にApache HTTP Serverは、2017年から脆弱性の数が急増し、現在までも攻撃者による悪用が続いています。攻撃者は様々な脆弱性を悪用してウェブサーバーを攻撃するが、ソフトウェアパッケージで設置されたウェブサーバーを狙うときもあります。

今度の投稿では、ソフトウェアパッケージバンドルより発生するウェブサーバー脆弱性と実際に漏洩されているデフォルトページ及び設定ファイルをCriminal IPのIT資産検索で検知する方法を扱います。

ウェブサーバーソフトウェアパッケージとは（XAMPP、Wamp、LAMP）

Apache HTTP ウェブサーバーは独断（Standalone）に設置するより XAMPP、Wamp、LAMP などのパッケージバンドルの形で設置する場合が多いです。

基本的にAPMはウェブサーバーのアパッチ（Apache）とサーバーサイド言語のPHP、データベース管理システム（DBMS）のMySQL / Maria DBを意味します。この３つを組み合わせて表記する同じ意味の他の用語としてAMPを使うこともあります。

普段、ウェブサーバーを構築する際に、上記3つのソフトウェアを全部設置しなければいけないので、効率のため使われるものがウェブサーバー設置ソフトウェアパッケージです。

ウェブサーバー設置ソフトウェアパッケージの１つのXAMPP

その中でXAMPPは、X（Cross Platform）、A（Apache）、M（Maria DB）、P（PHP）、P（Perl）の略語で、APM以外にもウェブサーバーのための他のプログラムを含めています。

地道なアップデートとワードプレス（Wordpress）、メディアウィキ（MediaWiki）など、多くのAdd-ons機能が入っていて、多くのエンジニアが使います。

ウェブサーバーソフトウェアパッケージ設定完了ページの外部漏洩

ソフトウェアパッケージで設置されたウェブサーバーを攻撃の対象とする際、攻撃者はウェブサーバーについての情報を探索します。そのとき、悪用されるのが設置完了のデフォルトページです。

デフォルトページが外部インターネットに漏洩されていると、それだけでウェブサーバー脆弱性になりかねません。

漏洩されたXAMPPウェブサーバの検索方法

XAMPPソフトウェアパッケージで設置されたApache HTTPウェブサーバーのデフォルトページは画像のようにHTML Titleで検索できます。

Search Query : title: “Welcome to XAMPP”

https://www.criminalip.io/ja/asset/search?query=title:%20%22Welcome%20to%20XAMPP%22

Criminal IP IT資産検索にXAMPPソフトウェアパッケージの
デフォルトページを検索した結果

検索された７万２千件のウェブサーバーの中の１つにアクセスすると、下の画面のようなXAMPP設置完了デフォルトページに移動します。右側の上段にはPHPの情報（PHPinfo）、phpMyAdminページにアクセスできるメニューがあります。

漏洩されたXAMPP ソフトウェアパッケージ
設置完了デフォルトページ画面

右側の上段にあるPHP infoをクリックすると、ウェブサーバーのphpinfo( )関数の実行結果を確認できます。

漏洩されたXAMPPデフォルトページを通じてアクセスしたPHP Infoページ

また、右側の上段にあるphpMyAdminメニューをクリックすると、管理者としてログインできるログインページが示されます。

漏洩されたXAMPPのデフォルトページを通じてアクセスしたphpMyAdminページ

漏洩されたWAMPウェブサーバーの検索方法

このようなデフォルトページが漏洩されるソフトウェアパッケージ設置型のウェブサーバー脆弱性はXAMPPだけに該当するものではありません。WAMPとLAMPも似たやり方で、OSINT検索エンジンを通じて漏洩されたウェブサーバーのデフォルトページを検知できます。

Search Query : title: “WAMP5 Homepage”
Search Query : title: “WAMPSERVER Homepage”

https://www.criminalip.io/ja/asset/search?query=title:%20“WAMPSERVER%20Homepage”

Criminal IP IT資産検索で検索したWAMPサーバーのデフォルトページ

漏洩されたWAMPサーバーのデフォルトページアクセス画面

漏洩されたLAMPウェブサーバーの検索方法

https://www.criminalip.io/ja/asset/search?query=title%3A+LAMP+stack+installation+scripts+by+Teddysun

Search Query : title: LAMP stack installation scripts by Teddysun

漏洩されたLAMPサーバーのデフォルトページアクセス画面

Directory Indexでウェブサーバー設定情報を探索

漏洩されたDirectory Indexで設定ファイルを探して悪用する場合もあります。下の画像は、ソフトウェアパッケージXAMPPで設置されたウェブサーバーの設定ファイルが実際に漏洩された事例です。

「httpd-xampp.conf」ファイル名になっている設定ファイルにはXAMPP設置型のhttpdウェブサーバー実行と関わる様々な情報が含まれています。

漏洩されたXAMPP ソフトウェアパッケージ設置
ウェブサーバーのDirectory Index

「httpd-xampp.conf」ファイルを開くと、画像のようにXAMPPウェブサーバーのSetting内容を閲覧できます。

漏洩されたDirectory Indexで発見した「httpd-xampp.conf」ファイル、
XAMPPウェブサーバーのSetting内容が示される

オープンソースソフトウェアパッケージバンドルの設置注意事項

このように、攻撃者は様々なOSINT情報を収集してウェブサーバー脆弱性を探索します。なので、オープンソースウェブサーバーソフトウェアを使用するときは、ウェブサーバーの情報などが含まれているデフォルトページと設定ファイルがあるDirectory Indexページが漏洩されているのではないか必ず点検しなければいけません。

デフォルトページまたはDirectory IndexページのURLで外部インターネットからアクセスができる状態なら、漏洩された設定ファイルに対する権限の設定を変更するか、ウェブサーバーの環境設定を変更し措置する必要があります。

関連しては、ウェブサーバーの中でNGINX設定ファイルが漏洩された事例と探索する方法を扱った投稿をご参照ください。

データの提供

Criminal IP
▶ https://www.criminalip.io/ja

ご参照

http://blog.criminalip.io/ja/2022/10/21/漏洩されたnginx設定ファイル/

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

1000 / 1000