SANS Institute のハニーポットが最近、CDN 関連ヘッダーを含む奇妙なリクエストを捕捉した。
ある個人またはグループがコンテンツデリバリーネットワーク(CDN)に対する新たな探索行為を行っており、ウェブアプリケーションファイアウォールの代わりに CDN を使ってウェブサイトを保護している CSO、CIO、ネットワーク管理者にとって懸念すべき状況だ。
これは、SANS Institute のリサーチ部門ディーンである Johannes Ullrich 氏の結論だ。同氏は今週、自身の組織のハニーポットが先月 CDN 関連ヘッダーを含むサーバーリクエストによる奇妙な量のトラフィックを検知したと述べた。
おそらく誰かが、特定サイトへの標的型攻撃、あるいは広範な分散型サービス妨害(DDoS)攻撃を仕掛けるために、CDN 防御を回避する手口をテストしているのかもしれない、と同氏は言う。
たとえば、ハニーポットは以下のようなヘッダーを含むトラフィックを観測している:
- Cloudflare の Warp VPN サービスに関連する “Cf-Warp-Tag-Id”;
- Fastly CDN に関連する “X-Fastly-Request-Id”;
- Akamai によって追加されるヘッダー “X-Akamai-Transformed”;
- そして不可解な “X-T0Ken-Inf0”。Ullrich 氏は、何らかの認証トークンの形式を含んでいる可能性があると考えているが、確信は持てていない。
インタビューの中で同氏は、一つの説明として、脅威アクターが CDN 関連ヘッダーを含むページリクエストを作成することで、CDN のフィルターをすり抜けようとしている可能性があると述べた。
もう一つの可能性として、これらのリクエストは単に CDN を経由しているだけという説明もあり得るが、「我々が見ているリクエストは、そのようには見えない」と Ullrich 氏は述べている。
インターネットリクエストとは、ウェブブラウザのようなクライアントからウェブサーバーへ送信される、ウェブページを要求するメッセージのことだ。大量のリクエストは DDoS 攻撃である可能性があり、別種の攻撃を隠すために使われることもある。
現在、多くの組織は、負荷分散に加え、基本的な DDoS 防御やボットフィルタリングのために CDN やクラウドプロバイダーを利用している。典型的な構成では、DNS を使ってクライアントを CDN に向け、CDN が顧客のウェブサーバーへリクエストを転送すると、Ullrich 氏は説明する。
しかし問題がある。攻撃者が実際のウェブサーバーの IP アドレスを特定できれば、多くの場合 CDN をバイパスしてウェブサーバーに直接到達できてしまうのだ。これを防ぐ方法はいくつかある。たとえば、選択した CDN によっては、CDN の IP アドレス空間からのアクセスのみを許可するように設定できる場合がある。ただし、大手プロバイダーの一部では、このアドレスリストが非常に大きく、かつ頻繁に変動する可能性がある。
別の選択肢として、カスタムヘッダーを追加する方法がある。いくつかの CDN は、CDN を通過したリクエストを識別するために、ランダム化された値を持つ特別なカスタムヘッダーを提供している。また、より安全性の低い選択肢として、CDN を識別する任意のヘッダーを探す方法もある。しかし Ullrich 氏は、単にヘッダーの有無だけを見ることは避けるべきだと指摘する。攻撃者は容易にそのヘッダーを自らのトラフィックに含めることができるからだ。SANS のハニーポットが 11 月以降観測している活動は、まさにこのようなものだと思われる。
CDN 事業者 Cloudflare の広報代理店の担当者は、締め切りまでにコメントを得ることはできなかったと述べた。
Kellman Meghu 氏(DeepCove Security のチーフセキュリティアーキテクト)は、SANS Institute のハニーポットが観測した活動は新しいものではないと述べる。しかし同氏は、それが問題となるのは、アクセス制御が不適切である場合、あるいは制御が機能しない場合だけだと付け加える。
「オリジンのウェブサーバーは、セキュリティグループやファイアウォールルールなどのアクセス制御を用いて、CDN サービスとの通信だけを常に許可するように構成されるべきです」と同氏はメールで述べている。「ウェブアプリケーションを世界中からアクセス可能な状態で単に公開し、その前段として CDN をかぶせるだけというのは、お金と労力のひどい無駄遣いに思えます。今日のインフラストラクチャ・アズ・コードの世界では、これはリスクの観点から見ても、容易に管理・軽減できるはずです。」
Aditya Sood 氏(Aryaka のセキュリティエンジニアリングおよび AI 戦略担当 VP)はメールで、CDN 関連ヘッダーを含むリクエストの急増は「脅威アクターによる明確な実験であり、そのなりすましは単なるランダムノイズではなく偵察行為です」と述べた。「攻撃は、CDN 固有のヘッダーが存在するというだけで信頼し、IP アローリスト、プライベートネットワークピアリング、暗号学的に検証されたトークンといった適切な制御を実施していない組織における、脆弱なオリジン検証を暴こうと探りを入れているのです。複数の CDN のフィンガープリントがほぼ同時期になりすまされているのを目にする場合、それは通常、新しいツールや自動スキャナーが実環境に投入されていることを意味します。」
ウェブサイトを保護するには、厳格な IP アローリスト、検証済みトークン、プライベート接続などを含む、適切なオリジンの強化が不可欠だと同氏は述べる。「CDN 固有ヘッダーの存在だけに依存することは、もはや現実的ではありません。バックエンドインフラを完全にロックダウンしていない組織は、すでに露出している可能性があります。」
Ullrich 氏はさらに、CDN やその他のトラフィックフィルタリングサービスは、トラフィックが自社サービスを通過した証拠として、各顧客に固有の値を発行しているため、ウェブ管理者はウェブサーバーや次世代ファイアウォールを、その固有値を持つリクエストのみを受け入れるように構成すべきだと付け加えた。
SANS が観測している活動は、「今後、現在以上のものになり得るという警告として、確実に受け止めるべきものだ」と同氏は言う。「現時点では単なる好奇心をそそる現象に過ぎませんが、容易にそれ以上のものになり得ます。管理者の皆さんは、この種の攻撃からウェブサーバーを守るために、自身のコンテンツデリバリーネットワークのガイダンスに従う必要があります。」
