www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(31)「OS コマンドインジェクションの試み」

どうも。ハニーポッターの森久です。
オリジナルハニーポットで、非常にオーソドックスな OS コマンドインジェクションによるコマンド実行の攻撃を検知しました。

検知した攻撃は下記のとおりです。

※一部の情報を意図的に伏せています。

cgi-bin ディレクトリの syssz_ping.htm というファイルを狙った攻撃で、POST されているデータ部分を見ると、どうやら ping による疎通確認をすることができる cgi ファイルのようです。

このファイルが POST データから受け取る「PING_DST」パラメータには「;(セミコロン)」で区切ると、その後に続く文字列を OS コマンドとして解釈されるようです。
つまり OS コマンドインジェクションに対して脆弱と考えられます。

おそらく ping のコマンド実行時引数に「PING_DST」パラメータに入っている値をそのまま渡しており、IP アドレス以外の文字列が入っていることの入力チェックが不足しているのでしょう。

今回の攻撃では ls コマンドによるファイルの一覧の表示にとどまっていますが、もし「cat /etc/passwd」のようなコマンドであれば、どれほど危険な攻撃かは容易に想像がつくと思います。

このファイルが何のシステムが使用されているものか調査しましたが、残念ながらわかりませんでした。しかしながら ping の疎通確認をするとう機能と BASIC 認証が必要なページという点から、おそらくルータのようなネットワーク機器の管理画面で利用されるファイルなのではないかという推測ができます。

また User-Agent から推測すると、Python を用いた攻撃スクリプトを利用していると考えられます。ただし雑な作りをしているスクリプトのようなので、POST リクエストであれば通常 HTTP ヘッダにいれるべきヘッダフィールドが足りません。そのため mod_security のような WAF ではプロコルアノーマリで検知されます。何が足りないのかは考えてみてください\\٩( ‘ω’ )و //

以上です。

 

(なお私と最近人気急上昇中の東大Honeypot @ut_honeypot さんは全く関係ありません)

 

参考情報

PHPだってシェル経由でないコマンド呼び出し機能が欲しい(徳丸浩の日記)
http://blog.tokumaru.org/2013/12/php_21.html

Written by morihisa

10月 20th, 2015 at 5:29 am