出典:Alamy Stock Photo(C. Fish Images)
セキュリティベンダーが、意図的に安全でないトレーニング用アプリケーションをパブリックインターネット上に放置し、攻撃者がそれを悪用して同社のクラウド環境へ侵入している。
組織がWeb上に開放したままにしてしまう資産として、最悪のものは何だろうか。データベースか? 管理インターフェースか? 既知の脆弱性を抱えたエッジデバイスか? 組織は常に、こうした手段で侵害され続けている。
Penteraの研究者ノアム・ヤッフェは、新たに公開したレポートで、組織への別の、あまり知られていないが潜在的にはより危険なバックドアを取り上げている。皮肉なことに、それは他の誰よりもサイバーセキュリティベンダーに多いバックドアだという。それがサイバーセキュリティのトレーニングアプリケーションだ。設計上安全でないこれらのプログラムは、過剰な権限が付与され、しかも露出していることが多く、ハッカーはすでにそれらを頻繁に悪用して、F5、Cloudflare、Palo Alto Networksといった大手セキュリティベンダーのITシステムへアクセスしている。
トレーニングアプリ:エンタープライズクラウドへの玄関マット
「火曜日の朝でした」とヤッフェは振り返る。彼と同僚は、ある顧客のクラウドセキュリティ態勢を評価していた。「壊れているように見えるアプリを見つけました。自社製品にすら見えなかった。何なのかよく分からなかったんです」
「調べてみると」と彼は言い、そして「以前どこかで見たことがあると気づきました。調べたら『Hackazon』という名前だった。そこで『ああ、いわゆる“クソ脆弱アプリ”だ』と思ったんです」
Deloitteが開発したHackazonは、脆弱性を作り込んだ模擬ECサイトだ。ユーザーがサイバーのスキルを学び、練習するための訓練場として使われる。
つまりアプリのコンテンツは偽物でも、脆弱性は非常に現実的で、しかも公然と用意されたものだった。さらに悪いことに、ヤッフェの顧客はそのアプリを本番環境で直接稼働させており、しかも企業の実在するAmazon Web Services(AWS)のElastic Compute Cloud(EC2)インスタンス上で動かしていた。そこで彼は安全でないファイルアップロードの脆弱性を突き、リモートコード実行(RCE)の権限を得て、偽サイトから実クラウドインスタンスのメタデータサービスへ飛び、認証情報を奪取した。
判明したのは、HackazonにIDおよびアクセス管理(IAM)ロールが付与されていただけでなく、そのロールが「AdministratorAccess」だったことだ。「認証情報を取得し、クラウド環境全体に接続し、そこから横展開して、顧客のクラウド環境全体の管理者になってしまったのです」とヤッフェは振り返る。
トレーニングアプリのリスクの全体像
次に彼が当然抱いた疑問は、トレーニングプログラムがサイバー攻撃者の玄関マットと化している企業が、その会社だけではないのではないか、ということだった。
オープンソース(OSS)のスキャンツールを使い、彼はWeb上でHackazonの他のインスタンスや、OWASP Juice Shop、Damn Vulnerable Web Application(DVWA)、Buggy Web Application(bWAPP)など、同種の「クソ脆弱アプリ」を探し出した。1万件以上を見つけ、そのうち1,926件が稼働中でインターネットからアクセス可能であることを確認した。それらは1,626台のユニークなサーバーに展開されていたが、彼はAWS、Google Cloud(GCP)、Microsoft Azureのいずれかで動作している974件にのみ焦点を当てた。
その974件のうち165件にはIDおよびアクセス管理(IAM)ロールが付与されており、109件は過剰権限で、ヤッフェが被害組織のクラウド環境のより深部へ到達し、横展開するのに十分な能力を与えていた。
実際、問題はこれよりはるかに深刻だ。というのも、企業はトレーニングアプリを定期的に立ち上げては停止しているが、ヤッフェが調査したのは数カ月間にすぎない。したがって、彼が調査をやめて以降だけでも、Web上には新たな「クソ脆弱アプリ」がさらに多数存在している可能性が高い。加えて前述のとおり、ヤッフェは主要クラウドプラットフォーム上で動くアプリにしか注目していない。自己ホストや、あまり普及していないクラウドプラットフォームに展開されていた652台の脆弱サーバーについては、同じリスクを抱えているにもかかわらず、テストすらしていない。
大手セキュリティベンダーが露出
一時的なクラウド認証情報を手にすると、ヤッフェは自分がいま侵入している組織の種類をすぐに理解した。大規模でグローバルな組織、フォーチュン500企業などだ。たとえば、彼が侵害した3社目か4社目の企業はDVWAを使っており、その基盤となるクラウドインフラに侵入したときのことを彼はこう振り返る。「組織の設定を見ていたら、アカウントがPalo Alto Networksに接続されているのが見えた。そこで『よし、Palo Altoのインフラの中で自分は管理者だ』と思ったんです」
皮肉なことに、これほど脆弱で――つまり「クソ脆弱アプリ」を最も頻繁に使っている――企業は、たいていサイバーセキュリティ業界に属している。Hackazonを露出させていたヤッフェの最初の顧客もセキュリティ企業だった。Palo Altoのほかにも、F5、Cloudflare、そして他にも多くの大手ブランドがあったが、Penteraは、それらの企業が自らの過ちを認めることにあまり前向きではなかったため、社名を公表しない判断をした。
Dark Readingはこの件についてPalo Alto、F5、Cloudflareにコメントを求めたが、締め切りまでにいずれのベンダーからも回答はなかった。
そして、企業のトレーニングアプリを通じてハッキングする可能性に気づいたのは、ヤッフェが初めてではなかったことも分かった。DVWAを稼働させていた616台のWebサーバーのうち、20%にサイバー攻撃の痕跡が含まれていた。とりわけ、侵害されたシステムのいくつかはXMRig暗号資産マイナーを実行するために悪用されていた。興味深いことに、それが最悪の事態だった。組織を完全に侵害できる機会があるのに、なぜ攻撃者は暗号資産マイニングで止まったのだろうか?
「それは私自身も自問したことです」とヤッフェは振り返るが、まだ答えは見つかっていないという。「私は企業に『あなたの環境で暗号資産マイナーを見つけました。つまり攻撃者がここに居座っていたということです。誰かがあなたの一時的な認証情報にアクセスしていないか確認すべきです。もしアクセスしていたなら、何をしたのか?』と知らせました」
翻訳元: https://www.darkreading.com/application-security/vulnerable-vendors-training-apps
