AWSのようなクラウド攻撃対象領域でも数多くのシステムがデフォルトページのまま、放置されています。AWSクラウド資産の特性をよく理解しているエンジニアやAWSのデフォルトページを見たことがある方々は関連するキーワードを使い、OSINT(Open Source Intelligence)検索でデフォルトページ状態の放置されたシステムを簡単に検知できます。AWSもやはり、特定の製品名を知らなくてもいくつのキーワードで クラウド攻撃対象領域 を見つけられます。
今回の投稿は以前掲載されたデフォルトページ漏洩で発生するセキュリティ脅威と続く内容なので、前回の投稿を先に読むことをお勧めします。
放置されたAWS資産で クラウド攻撃対象領域 を検知
代表的なキーワードとして“Instance data”があります。クラウドにはVMインスタンスが多く使われているため、単純にこのキーワードを検索してみても、デフォルト状態のAWSシステムをたくさん見つけられます。
https://www.criminalip.io/ja/asset/search?query=%22Instance+data%22
“Instance data”キーワードで検索した放置されているAWSクラウド攻撃対象領域サーバー
下のスクリーンショットをみると、Instance dataのデフォルトページにはVMインスタンスのID、Private IPアドレス、AWS Regionとその上データベースのRDS情報まで含まれています。
“Instance data”キーワードで見つけたAWSのデフォルトページに漏洩されている情報
次は、HTMLで予想される文字列で検索できます。“class=VmInfo”という文字列で検索すると、VMサーバーに関連するシステムIPアドレスがたくさん検索されます。特に、下のイメージのようにHTML Titleが”Document”で表記されている結果があります。あるページにアクセスして確認してみたところ、そのウェブアプリケーションはAWS、Azureなどのクラウドサービスの仮想マシン(VM)情報が含まれています。
https://www.criminalip.io/ja/asset/search?query=%22class%3D%E2%80%9DVmInfo%22
Criminal IPのIT資産検索で”class=VmInfo”キーワードを検索した結果
HTML Titleが”Document”で表記されたウェブアプリケーションのアクセス画面、AWS仮想マシン(VM)情報が含まれている
アマゾンクラウドフォーメーション(AWS CloudFormation)のセキュリティ脅威
AWSサービスの特定の製品でもクラウド攻撃対象領域を検知できます。初期サービスのページ漏洩のイシューが見つかった製品ではクラウドフォーメーション(CloudFormation)があります。
AWSのクラウドフォーメーションはリソースを自動で生成するサービスで、テンプレートファイルで作成されたAWSリソースをクラウドフォーメーションが分析して自動で生成します。クラウドフォーメーションを使用すると、インフラをソフトウェアコードで処理し、自動化することができるため、手軽にAWSリソースとサードパーティリソースをモデリング、プロビジョニングおよび管理できます。
https://www.criminalip.io/asset/search?query=title:%22AWS%20CloudFormation%20PHP%20Sample%22
Criminal IPの資産検索でtitleフィルターでAWSクラウドフォーメーションを検索した結果
このように便利な自動化システムのセキュリティ問題を軽視したまま、外部に漏洩されるように放置しておくと、ハッカーもやはりこのシステムをとても便利に利用できます。上のスクリーンショットはCriminal IP IT資産検索(https://www.criminalip.io/ja/asset)で“title:AWS CloudFormation PHP Sample”を検索した結果です。PHPで開発しようとするサイトのクラウドフォーメーションのデフォルトページのIPアドレスはなんと824個が検索されています。検索されたサーバーの中であるウェブサーバーは下のようにPHP Sampleページへアクセスされました。ここには、Server情報、EC2 Instance情報、Database情報とPHP Informationでphpinfo()が実行された結果の画面が漏洩されています。現在はphpinfo()だけの画面であったが、CloudFormationのテンプレートは.json、.yaml、.templateまたは、.txtなど全てのテキストファイル拡張子でファイルを保存できるため、ハッカーがより多いアクセス権限が漏洩されたデフォルトページを見つければ、データの抽出機能で追加アクションを行うかもしれないです。
サーバー、EC2インスタンス、データベースの情報とPHP Informationでphpinfo()が実行された結果の画面が漏洩されているクラウドフォーメーションのデフォルトページ
アマゾンAWS EC2(Elastic Compute Cloud) クラウド攻撃対象領域 の検知
次は、アマゾンのAWS EC2(Elastic Compute Cloud)クラウド攻撃対象領域の資産を検索する方です。“Amazon EC2 Instance”という直観的なキーワードを利用できます。検索された結果をみると、EC2インスタンスID情報が含まれているデフォルトページが結果として出ます。
https://www.criminalip.io/ja/asset/search?query=amazon+EC2+Instance
Criminal IPのIT資産検索で”Amazon EC2 Instance”キーワードを検索した結果
Amazon EC2 Instance IDが漏洩されたデフォルトページ
AWSパラレルクラスター(Parallel Cluster)デフォルトページの情報探し
AWSパラレルクラスター(Parallel Cluster)はAWS HPC(ハイパフォーマンスコンピューティング)クラスターのデプロイと管理を容易にするオープンソースクラスター管理ツールで、必要なリソースと共有ファイルシステムを自動で設定するようにします。AWSパラレルクラスターのデフォルトページを検知するために、製品名をそのまま入れた“AWS ParallelCluster”の直観的なキーワードを検索すると、185のクラウド攻撃対象領域の漏洩資産を確認できます。
https://www.criminalip.io/ja/asset/search?query=AWS+ParallelCluster
Criminal IPのIT資産検索でAWSパラレルクラスターのデフォルトページを検索した結果
検索されたIPアドレスはAWSパラレルクラスター(Parallel Cluster)のデフォルトページである下のようなサイトへアクセスされます。
放置されたクラウド攻撃対象領域の資産のAWSパラレルクラスターのデフォルトページアクセス画面
デフォルト状態のシステムがが攻撃対象領域に放置される理由
‘システムの設置または、初期化の後にセッティングをすまず、席を外すエンジニアがいるか’のような考えが一般的であるが、インターネットにデフォルト状態で放置されたシステムは数えないぐらいたくさん存在します。デフォルトページは伝統的で普遍的なウェブアプリケーションはむろん、最近はクラウド攻撃対象領域も問題になっています。一つのシステムのみを設置する場合なら、設定が仕上げてないデフォルトページが放置されることは珍しいでしょうが、最近のクラウドエンジニアは数百のシステムを同時にスクリプトで稼働し、自動化して設定を完了する場合が多いです。その時にいくつかのリソースが穴が開いたように漏れたり、別の部署に移管する時に漏れることもあります。
デフォルト状態のままウェブアプリケーションが活性化されていると、CVEのようなセキュリティ脆弱性がない場合は一般的なセキュリティ点検やASMシステムで検知できない可能性があります。従って、大規模のシステムを運営しているチームでは、デフォルトページ状態でシステムが稼働されているかを精密なインテリジェンスでモニタリングする攻撃対象領域管理を必ず行うべきです。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
