オープンソースウェブサーバー、特にApache HTTP Serverは、2017年から脆弱性の数が急増し、現在までも攻撃者による悪用が続いています。攻撃者は様々な脆弱性を悪用してウェブサーバーを攻撃するが、 ソフトウェアパッケージ で設置されたウェブサーバーを狙うときもあります。
今度の投稿では、ソフトウェアパッケージバンドルより発生するウェブサーバー脆弱性と実際に漏洩されているデフォルトページ及び設定ファイルをCriminal IPのIT資産検索で検知する方法を扱います。
ウェブサーバー ソフトウェアパッケージ とは(XAMPP、Wamp、LAMP)
基本的にAPMはウェブサーバーのアパッチ(Apache)とサーバーサイド言語のPHP、データベース管理システム(DBMS)のMySQL / Maria DBを意味します。この3つを組み合わせて表記する同じ意味の他の用語としてAMPを使うこともあります。
普段、ウェブサーバーを構築する際に、上記3つのソフトウェアを全部設置しなければいけないので、効率のため使われるものがウェブサーバー設置ソフトウェアパッケージです。
ウェブサーバー設置 ソフトウェアパッケージ の1つのXAMPP
その中でXAMPPは、X(Cross Platform)、A(Apache)、M(Maria DB)、P(PHP)、P(Perl)の略語で、APM以外にもウェブサーバーのための他のプログラムを含めています。
地道なアップデートとワードプレス(Wordpress)、メディアウィキ(MediaWiki)など、多くのAdd-ons機能が入っていて、多くのエンジニアが使います。
ウェブサーバー ソフトウェアパッケージ 設定完了ページの外部漏洩
ソフトウェアパッケージで設置されたウェブサーバーを攻撃の対象とする際、攻撃者はウェブサーバーについての情報を探索します。そのとき、悪用されるのが設置完了のデフォルトページです。
デフォルトページが外部インターネットに漏洩されていると、それだけでウェブサーバー脆弱性になりかねません。
漏洩されたXAMPPウェブサーバの検索方法
XAMPPソフトウェアパッケージで設置されたApache HTTPウェブサーバーのデフォルトページは画像のようにHTML Titleで検索できます。
Search Query : title: “Welcome to XAMPP”
Criminal IP IT資産検索にXAMPPソフトウェアパッケージの
デフォルトページを検索した結果
デフォルトページを検索した結果
検索された7万2千件のウェブサーバーの中の1つにアクセスすると、下の画面のようなXAMPP設置完了デフォルトページに移動します。右側の上段にはPHPの情報(PHPinfo)、phpMyAdminページにアクセスできるメニューがあります。
漏洩されたXAMPP ソフトウェアパッケージ
設置完了デフォルトページ画面
設置完了デフォルトページ画面
右側の上段にあるPHP infoをクリックすると、ウェブサーバーのphpinfo( )関数の実行結果を確認できます。
漏洩されたXAMPPデフォルトページを通じてアクセスしたPHP Infoページ
また、右側の上段にあるphpMyAdminメニューをクリックすると、管理者としてログインできるログインページが示されます。
漏洩されたXAMPPのデフォルトページを通じてアクセスしたphpMyAdminページ
漏洩されたWAMPウェブサーバーの検索方法
このようなデフォルトページが漏洩されるソフトウェアパッケージ設置型のウェブサーバー脆弱性はXAMPPだけに該当するものではありません。WAMPとLAMPも似たやり方で、OSINT検索エンジンを通じて漏洩されたウェブサーバーのデフォルトページを検知できます。
Search Query : title: “WAMP5 Homepage”
Search Query : title: “WAMPSERVER Homepage”
Criminal IP IT資産検索で検索したWAMPサーバーのデフォルトページ
漏洩されたWAMPサーバーのデフォルトページアクセス画面
漏洩されたLAMPウェブサーバーの検索方法
- https://www.criminalip.io/ja/asset/search?query=title%3A+LAMP+stack+installation+scripts+by+Teddysun
Search Query : title: LAMP stack installation scripts by Teddysun
漏洩されたLAMPサーバーのデフォルトページアクセス画面
Directory Indexでウェブサーバー設定情報を探索
漏洩されたDirectory Indexで設定ファイルを探して悪用する場合もあります。下の画像は、ソフトウェアパッケージXAMPPで設置されたウェブサーバーの設定ファイルが実際に漏洩された事例です。
「httpd-xampp.conf」ファイル名になっている設定ファイルにはXAMPP設置型のhttpdウェブサーバー実行と関わる様々な情報が含まれています。
漏洩されたXAMPP ソフトウェアパッケージ設置
ウェブサーバーのDirectory Index
ウェブサーバーのDirectory Index
「httpd-xampp.conf」ファイルを開くと、画像のようにXAMPPウェブサーバーのSetting内容を閲覧できます。
漏洩されたDirectory Indexで発見した「httpd-xampp.conf」ファイル、
XAMPPウェブサーバーのSetting内容が示される
XAMPPウェブサーバーのSetting内容が示される
オープンソース ソフトウェアパッケージ バンドルの設置注意事項
このように、攻撃者は様々なOSINT情報を収集してウェブサーバー脆弱性を探索します。なので、オープンソースウェブサーバーソフトウェアを使用するときは、ウェブサーバーの情報などが含まれているデフォルトページと設定ファイルがあるDirectory Indexページが漏洩されているのではないか必ず点検しなければいけません。
デフォルトページまたはDirectory IndexページのURLで外部インターネットからアクセスができる状態なら、漏洩された設定ファイルに対する権限の設定を変更するか、ウェブサーバーの環境設定を変更し措置する必要があります。
関連しては、ウェブサーバーの中でNGINX設定ファイルが漏洩された事例と探索する方法を扱った投稿をご参照ください。
0コメント