www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(17)

Dionaea でネットワークの設定情報ファイルの存在有無を確認する通信を検知しました.

狙われている設定情報ファイルは同じですが,異なる送信元 IP アドレスから別々の日に合計3回検知しています.

検知ログ

GET /ospfd.conf HTTP/1.1
Host: www.***.***
Connection: Keep-alive
Accept: */*
From: googlebot(at)googlebot.com
User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1;  http://www.google.com/bot.html)
Accept-Encoding: gzip,deflate

※一部の情報を意図的に伏せています.

送信元 IP アドレス

  • 66.249.73.42
  • 66.249.66.240
  • 66.249.74.80

まずアクセスの試みがあった ospfd.conf ですが,これは Quagga や Zebra で使用される設定情報ファイルの1つです.ネットワーク(特にルーティング)を構築・学習することができるソフトウェアルータです.実際に手を動かしてネットワークを学習した人は使用した経験があるかもしれません.
OSPF が何かという説明はこの記事の本質ではないので割愛します.ファイル名からして,なんらかのネットワークの構成情報が記載されている設定情報ファイルということは想像がつくと思います.

さてなぜ ospfd.conf にアクセスしているのでしょうか?

User-Agent や From というヘッダ情報で自己主張していますが,送信元は Google bot と名乗っています.つまり検索サイトの Google の Web クローラです.

ただ送信元から送られてきたヘッダ情報は容易に詐称できます.本当に Google bot からの通信かどうかは,送信元 IP アドレスやその他の情報も含め総合的に判断する必要があります.

 

送信元 IP アドレスは上述していますが,今回は whois 情報から Google 所有の IP アドレスなので,Web クローラの可能性が高いと判断できます.Web クローラならどんなファイルにアクセスがあっても不思議ではないです.

whois 参考 http://whois.arin.net/rest/nets;q=66.249.73.42?showDetails=true&showARIN=false&ext=netref2 

NetRange:       66.249.64.0 – 66.249.95.255
CIDR:           66.249.64.0/19
OriginAS:
NetName:        GOOGLE
NetHandle:      NET-66-249-64-0-1
Parent:         NET-66-0-0-0-0
NetType:        Direct Allocation
RegDate:        2004-03-05
Updated:        2012-02-24
Ref:            http://whois.arin.net/rest/net/NET-66-249-64-0-1
OrgName:        Google Inc.
OrgId:          GOGL
Address:        1600 Amphitheatre Parkway
City:           Mountain View
StateProv:      CA
PostalCode:     94043
Country:        US
RegDate:        2000-03-30
Updated:        2013-08-07
Ref:            http://whois.arin.net/rest/org/GOGL

 

設定情報ファイルと Google の Web クローラの組み合わせときたら,もう Google Hacking しかないですよね.

調べてみると次の検索キーワードが EXPLOIT-DB に登録されていました.

exploit-db-ghdb283-ospfdconf

 

どうやら ospfd.conf にはネットワークの構成情報だけでなく,パスワード情報も含まれる場合があるようです.

以上より,どのような攻撃が考えられるか妄想してみます.

ospfd.conf を意図せず公開してしまう.

Google の Web クローラが ospfd.conf を発見し,検索のインデックスに登録する.

攻撃者が Google Hacking の情報より,ospfd.conf を検索する.

攻撃者が意図せず公開されている ospfd.conf ファイルを閲覧し,ネットワークの構成情報やパスワードを取得する.

取得したパスワードを用いて,ルータ(Quagga 等)に不正侵入する.

あんなことや,そんなことなどいろいろされる.(パスワードを使い回ししていると,さらに悲惨なことに)

\(^o^)/


まとめ

ネットワークの構成情報やパスワードが含まれる場合がある ospfd.conf という設定情報ファイルにアクセスする通信について紹介しました.

 

Quagga や Zebra をインターネットに直接,接続して運用している方はかなりの少数派だと思いますが,

もし運用されている方がいましたら,念のために外部から設定情報ファイルへアクセスできないことを確認することを推奨します.

 

また Google Hacking 等で不正に入手したパスワードでログインすることもダメですよ!

 

Written by 森久

1月 22nd, 2014 at 8:57 pm