TokyoBlackHatNews

bleepingcomputer.com 4分で読了

ハッカーがセキュリティテスト用アプリを悪用し、フォーチュン500企業に侵入

Image

脅威アクターが、DVWA、OWASP Juice Shop、Hackazon、bWAPP など、セキュリティトレーニングや社内のペネトレーションテストに使用される設定不備のある Webアプリケーションを悪用し、フォーチュン500企業やセキュリティベンダーのクラウド環境への アクセスを獲得している。

自動化ペネトレーションテスト企業Penteraによる調査では、ハッカーがこの攻撃ベクターを利用してシステムを侵害し、暗号資産マイナーを展開したり、Webシェルを設置したり、機密システムへ横展開(ピボット)したりしている証拠が見つかった。 

これらのテスト用Webアプリは意図的に脆弱であり、パブリックインターネット上に公開され、特権を持つクラウドアカウントから実行されている場合、深刻な侵害リスクとなる。

Penteraの研究者は、パブリックWeb上に公開された稼働中の脆弱なアプリケーションを1,926件発見した。これらは過剰な権限を持つIAM(Identity and Access Management)ロールに紐づいていることが多く、AWS、GCP、Azureのクラウド環境にデプロイされていた。

Image
公開されているテスト用Webアプリの概要
Source: Pentera Labs

Penteraによると、公開されていたアプリはCloudflare、F5、Palo Alto Networksを含む複数のフォーチュン500企業のもので、研究者の調査結果を受け取った各社は 問題を修正したという。

これらのインスタンスの多くはクラウドの認証情報セットを露出させており、推奨される「最小権限」プラクティスに 従っていなかった。さらに半数超のケースでは、依然としてデフォルト認証情報が使われており、容易に乗っ取れる状態だった。

Penteraが調査で発見した認証情報により、攻撃者はS3バケット、GCS、Azure Blob Storageへのフルアクセス、Secrets Managerへの読み書き権限、コンテナレジストリとのやり取り、そしてクラウド環境への管理者アクセスを得られる可能性がある。

Accessing an AWS account with sensitive secrets
公開されたAWSアカウントでSecrets Managerにアクセス
Source: Pentera Labs

進行中の積極的な悪用

BleepingComputerと共有されたレポートの中で、Pentera Labsは、このリスクが机上のものではなく、ハッカーがすでにこれらの侵入口を悪用していることを確認した。

「調査中、攻撃者が現実の環境でまさにこれらの攻撃ベクターを積極的に悪用している明確な証拠を発見しました。侵害されたシステム上に暗号資産 マイナー、Webシェル、永続化メカニズムを展開していました」と研究者は述べている。

侵害の証拠は、複数の設定不備のある脆弱なアプリケーションを評価する過程で明らかになった。研究者はマシン上にシェルを確立し、所有者を特定するためにデータを列挙した。

「発見された616件のDVWAインスタンスのうち、およそ20%で悪意あるアクターが展開した痕跡が見つかりました」とPenteraはレポートで述べている。

暗号資産のマイニング活動にはXMRigツールが使用されており、バックグラウンドでMonero(XMR)暗号資産をアクティブに採掘していた。

Activating the XMRig miner
XMRigマイナーの起動
Source: Pentera Labs

研究者はまた、「watchdog.sh」というスクリプトを用いた高度な永続化メカニズムも発見した。削除されても、このスクリプトはbase64エンコードされたバックアップから自己復元し、GitHubからXMRigを再度ダウンロードする。

Re-downloading the miner from GitHub
GitHubからマイナーを再ダウンロード
Source: Pentera Labs

このスクリプトはさらに、AES-256暗号で暗号化された追加ツールをDropboxアカウントからダウンロードし、侵害されたホスト上に存在する競合マイナーを停止させる。

別のケースでは、ファイル操作(読み取り、書き込み、削除、ダウンロード、アップロード) およびコマンド実行をサポートする「filemanager.php」というPHP Webシェルが展開されていた。

このWebシェルには 認証情報がハードコードされており、タイムゾーンがEurope/Minsk(UTC+3)に設定されていた。これはオペレーターの出自に関する手がかりとなる可能性がある。

Penteraは、これらの悪性アーティファクトはCloudflare、F5、Palo Altoに通知した後に発見されたものであり、各社は問題を是正したと説明している。

研究者は、組織に対し、テスト用アプリを含むすべてのクラウドリソースの包括的なインベントリを維持し、本番環境から隔離することを推奨している。

また、本番以外のシステムには最小権限のIAMロールを強制し、デフォルト認証情報を変更し、一時的なリソースには自動失効を設定すべきだとしている。

Penteraのレポートでは、調査手順の詳細な説明が提供されており、脆弱なインスタンスを発見・調査し、その所有者を特定するために使用されたツールや手法に関する情報も含まれている。

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-exploit-security-testing-apps-to-breach-fortune-500-firms/

ソース: bleepingcomputer.com
#DVWA #Fortune 500 #IAM最小権限 #OWASP Juice Shop #Webシェル #クラウドセキュリティ #クラウド認証情報漏えい #セキュリティ訓練アプリ #暗号資産マイニング(XMRig) #脆弱性悪用

関連記事

AIで構築されたランサムウェアツールキット、EDR回避とAD探索を自動化

Microsoft Exchange Onlineの障害、メール遅延・配信失敗が多発

AIセキュリティの最前線となったブラウザ