product filterで攻撃対象領域に漏洩されたアプリケーション検知

IT分野では公式プロダクト名を持つ多様なアプリケーションがあり、Criminal IP ではそのプロダクト名で検索できる機能を提供しています。IPアドレスであるサーバーが起動されているとき、 product filter で検索すると、その IP アドレスで起動されているアプリケーションについて把握できます。

簡単に product フィルター を使って結果を照会できます。プロダクトは nginxapachemicrosoft-iislighttpd などのオープンソースも存在しますが、常用ソフトウェアも検索できます。例えば、ファイアウォールや VPN デバイスでよく使われる sonicwall について product フィルター で検索してみました。
IP 詳細ページでも product フィルター 検索が可能である


product:sonicwall
Criminal IP アセット検索で product:sonicwall を検索した結果


上の結果ページで分かるように sonicwall のログインサイトも紹介されています。

sonicwall ログインサイトの画面



Microsoft Exchange サーバーを検索する方法

同じ方法で、Microsoft Exchange サーバーも検索できます。今回はメールプロトコルの smtp プロトコルも一緒に検索できるので port:443 のフィルターを追加して検索範囲を絞ることができます。ちなみに、Microsoft Exchange サーバーは2021年3月にゼロデイ脆弱性が発見されて大変な面にあった履歴があります。
product: "microsoft exchange" port:443

Criminal IP IT資産検索で product: "microsoft exchange" port:443を検索した結果

Outlook ログインサイトの画面


VMWare ESXi サーバーを検索する方法

次は VMWare ESXi を検索してみました。現時点で約46,000の結果が確認され、上の Exchange サーバー例の応用で 443ポートを使用した場合と OVH ホスティングサーバーを使用した場合のみを照会したいときは、下のように検索語を作成できます。ちなみに、CIP チームでは VMWare ESXi の攻撃対象領域の漏洩事件を扱うブログ投稿を書いたことがるので、詳しい内容を知りたい場合は次のリンクをクリックしてください。
product: vmware vcenter server as_name: "ovh sas" port:443 
VMWare ログインサイトの画面


このようにポートごとに product の全リストを知りたい場合、要素分析機能を利用します。下のリンクは 443 ポートを対象にした product のリストです。

Criminal IP 要素分析で port:443 を検索した結果


データの提供

  • Criminal IP
    ▶ https://www.criminalip.io/ja

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

  • 1000 / 1000