ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

ハニーポット観察日誌 vol 1.0 - 検知したCVEを調査してみた-

ハニーポット観察日誌です。

ハニーポットを植えて一週間経ったので、ある程度観察対象が増えてきたので観察日誌としてアウトプットしていきます。

まだ、私がT-Potを使いこなせていないのですが、 今の私の知識で理解できる範囲で気になった部分が、CVEの脆弱性を検知しているところ。 手始めにこの検知しているCVEを調査していこうと思います。

Suricata

最初の1回目なので、CVEを検知しているツールの紹介も少し行います。 先日、投稿した記事はT-Potに含まれているハニーポットたちの概要を調べました。

他にもT-Potはツールとして、SuricataというIPSも含んでいます。

suricata-ids.org

IPS(Instrucsion Prevention System)とは、不正侵入防止システムと言われています。 サーバーにIPSを配置すれば、サーバーを狙ってくる既知の攻撃パターンに合致する攻撃を検知、弾いてくれます。

T-PotにはこのSuricataが導入されているので、既知の攻撃パターンを検知して、なんの攻撃があったかのログも残してくれているようですね。

f:id:UltraBirdTech:20180916141333p:plain

共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)

この記事に登場している、CVEという単語についても少し解説します。

IPAの説明を見るのが一番ですかね。 www.ipa.go.jp

脆弱性が発見された場合、その脆弱性を識別するために一意に番号を振ります。これがCVEです。

このCVEはベンダに依存しないものであり、世界標準で使える番号です。 なので、CVE-YYYY-NNNNN という番号を検知して、その番号で調べればなんの脆弱性を狙った攻撃かがわかります。

また、CVEにはそれぞれ脅威となる指標になる、CVSS Scoreというスコアがあります。

www.ipa.go.jp

また、それぞれ下記のような評価基準があります。

※CVSS ver2を採用。

評価基準名 英名 省略 詳細 評価区分
攻撃元区分 Access Vector AV 脆弱性のあるシステムをどこから攻撃可能であるかを評価。 ローカル、隣接、ネットワークの3区分。
攻撃条件の複雑さ Access Complexity AC システムを攻撃する際に必要な条件の複雑さを評価。 高中低の3段階。
攻撃前の承認要否 Authentication Au 攻撃するためにシステムの認証が必要かどうか。 複数(2つ以上の認証が必要)、単一、不要の3段階。
機密性への影響 Confidentiality Impact C 対象システム内の機密情報が漏えいする可能性を評価。セキュリティCIAのC。 なし、部分的、全面的の3段階。
完全性への影響 Integrity Impact I 対象システム内の情報が改ざんされる可能性を評価。セキュリティCIAのI。 なし、部分的、全面的の3段階
可用性への影響 Availability Impact A 対象システム内の業務が遅延・停止する可能性を評価。セキュリティCIAのA。 なし、部分的、全面的の3段階

検知できたCVE

前置きが長くなりましたが、ここからが本題。

CVE 検知した回数
CVE-1999-0183 8
CVE-2017-0143 6
CVE-2017-7269 6
CVE-2016-6563 5
CVE-2005-4050 3
CVE-2003-0818 1
CVE-2014-3120 1

観察期間は2018年 09月09日 - 09月16日

CVE-1999-0183

CVSS Score

6.4

概要

Linux のTFTPプロトコル脆弱性です。 この脆弱性が存在すると、アクセス許可をしていないファイルへのアクセスができてしまいます。

攻撃条件は特に複雑でもなく、攻撃するための承認要求も必要ないので非常に危ない脆弱性ですね。ファイルシステムを部分的とはいえ、書き換えられてしまうので早急に対応が必要なものですね。

攻撃条件が緩く、承認要求も必要ないので回数が多いのも納得です。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC) 低い(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partial) -
完全性への影響( I ) 部分的(Partial) いくつかのファイルシステムは変更可能。しかし攻撃者は権限の変更はできないため影響範囲は部分的。
可用性への影響(A) なし(None) -

www.cvedetails.com

CVE-2017-0143

CVSS Score

9.3

概要

Windows サーバーの脆弱性。リモート攻撃者が細工したパケットを介して任意のコードを実行できるとのこと。 攻撃条件も複雑なものを要求しているわけでもなく、承認も必要なし、ネットワーク越しで攻撃できるにも関わらず、CIA全て全体的に影響を与えるって、めちゃめちゃヤバイ脆弱性ですね。

当時、WIndowサーバー運用していた方々冷や汗かいたのでは?

www.cvedetails.com

マイクロソフトからも緊急ということで、当時お達しがあったようですね。

マイクロソフト セキュリティ情報 MS17-010 - 緊急 | Microsoft Docs

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク -
攻撃条件の複雑さ(AC) 中(Medium) ある程度脆弱性に対する知識が必要
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 全体的(Complete) 全てのシステムファイルが情報漏洩する可能性あり
完全性への影響( I ) 全体的(Complete) 全てのシステムの完全性に影響あり。システム全体が危険。
可用性への影響(A) 全体的(Complete) 影響を受けたリソース全てが利用できなくなる可能性あり

JVN

JVNDB-2017-001842 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

【セキュリティ ニュース】MS、1カ月ぶりの月例パッチを公開 - 公開済み脆弱性や複数ゼロデイ脆弱性に対処(3ページ目 / 全3ページ):Security NEXT

CVE-2017-7269

CVSS Score

10.0

概要

これまた、CVEスコアの値が異常な数値を示していますね。

Buffer overflow in the ScStoragePathFromUrl function in the WebDAV service in Internet Information Services (IIS) 6.0 in Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with "If: <http://" in a PROPFIND request, as exploited in the wild in July or August 2016.

バッファオーバーフローを用いた脆弱性のようですね。 PROPFINDメソッドを用いた http リクエストのみで、攻撃が可能とのこと。怖すぎる。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク -
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 全体的(Complete) 全てのシステムファイルが情報漏洩する可能性あり
完全性への影響( I ) 全体的(Complete) 全てのシステムの完全性に影響あり。システム全体が危険。
可用性への影響(A) 全体的(Complete) 影響を受けたリソース全てが利用できなくなる可能性あり

JVN

JVNDB-2017-002299 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

blog.trendmicro.co.jp

www.softbanktech.jp

CVE-2016-6563

CVSS Score

10.0

概要

おぉ、また高いスコアを記録してますね。 不正なSOAPメッセージを処理すると、バッファオーバーフローが発生するとのこと。 XMLフィールドのAction, Username, LoginPassword, Captchaの処理に問題があるとのこと。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク -
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 全体的(Complete) 全てのシステムファイルが情報漏洩する可能性あり
完全性への影響( I ) 全体的(Complete) 全てのシステムの完全性に影響あり。システム全体が危険。
可用性への影響(A) 全体的(Complete) 影響を受けたリソース全てが利用できなくなる可能性あり

JVN

JVNDB-2016-005757 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

JVNVU#99822187: D-Link 製ルータの HNAP サービスにスタックバッファオーバーフローの脆弱性

CVE-2005-4050

CVSS Score

7.5

概要

バッファオーバーフロー脆弱性。 0.8バージョンより前のファームウェアを搭載したMultiVOIPデバイスは、リモート攻撃者からパケットの長いINVITEフィールドを介して、任意のコードを実行できるようになってしまうそう。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク -
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partial) 広範囲の情報開示の可能性あり
完全性への影響( I ) 部分的(Partial) いくつかのファイルが改ざんされる可能性あり。しかし制御ファイルの変更、アタックは制限されている
可用性への影響(A) 部分的(Partial) パフォーマンスなどに影響する可能性あり。

CVE-2003-0818

CVSS Score

7.5

概要

Microsoft Windowsのライブラリの整数オーバーフローに関連する脆弱性を用いた攻撃。 遠隔から任意のコードを実行される可能性がある。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク -
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partial) 広範囲の情報開示の可能性あり
完全性への影響( I ) 部分的(Partial) いくつかのファイル、情報ファイルが影響を受けるが、制御ファイルの変更、攻撃は制御されている。
可用性への影響(A) 部分的(Partial) パフォーマンスなどに影響する可能性あり。

JVN

JVNDB-2004-000037 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

マイクロソフト社のASN.1 ライブラリの脆弱性について:IPA 独立行政法人 情報処理推進機構

CVE-2014-3120

CVSS Score

6.8

概要

Elastic Search に対する脆弱性。 デフォルト設定は動的スクリプトを有効にしているため、遠隔からMVEL式やJavaコードが実行できる。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク -
攻撃条件の複雑さ(AC) 中(Medium) -
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partial) 広範囲の情報開示の可能性あり
完全性への影響( I ) 部分的(Partial) いくつかのファイル、情報ファイルが影響を受けるが、制御ファイルの変更、攻撃は制御されている。
可用性への影響(A) 部分的(Partial) パフォーマンスなどに影響する可能性あり。

JVN

JVNDB-2014-003609 - JVN iPedia - 脆弱性対策情報データベース

まとめ

まだ観測し始めて一週間。 今回、検知できたCVEはたまたまこの一週間で検知できたものなのか、それとも継続的に検知されるものなのか。 そういうところも含めて、今後の調査対象になりそうです。

久々にCVE見たけど、スコアの見方忘れていたから再度勉強。 情報処理安全確保支援士の講義Aで勉強したはずなのになー。うぅ。。

自分が知らなかっただけで、結構クリティカルな脆弱性ってあるんですね(冷や汗)

いやー、セキュリティ大事!!!!