www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(18)

Dionaea で,WebCalendar の初回インストール時に使用されるファイルの探索を検知しました.


検知したログは下記のとおりです.

GET //webcalendar/install/ HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: *.*.*.*
Connection: Close

その他,同じ送信元 IP アドレスがアクセスを試みた URL(抜粋)

  • //WebCalendar/install/
  • //calendar/install/
  • //Calendar/install/
  • //install/
  • //webc/install/

おそらく今回検知した攻撃は,WebCalendar と呼ばれる,Web で予定管理ができるソフトウェア(下図1参照)を探索していると推測されます.さらに,URL より install ディレクトリへアクセスしていることも踏まえると,下記の2点が攻撃の狙いと考えられます.

webcalender 図1 WebCalender のトップ

 

  1. 適切なアクセス制御がされていないカレンダーの場合,予定を知ることができる.
  2. 古いバージョンの WebCalendar を使用しており,install 関係のファイルが残っている場合,コマンド実行の脆弱性を利用して攻撃することができる.

1番は WebCalendar に限らず,Web 上で予定管理をするサービス全てに当てはまります.パスワード管理や特定の送信元 IP アドレスからのみ接続を許可するなど,アクセス制御をすることが対策になります.

一方,2番は WebCalendar 特有の脆弱性を狙っています.現在(2014年2月25日)の WebCalendar の最新バージョンは 1.2.7 です.過去のバージョンの脆弱性を探してみると,1.2.4 以下のバージョンにおいて,install/index.php のファイルにリモートからコマンド実行可能な脆弱性が報告されています.

対策としては,これから WebCalendar を利用するなら,新しいバージョンを使用しましょう.既に WebCalendar を利用しているなら,install ディレクトリは不要になるはずなので,削除したりアクセス制限をすることが挙げられます.

セキュリティ検査機能

さて,WebCalendar を利用したことのある方なら,標準で「セキュリティ検査」機能があることはご存知だと思います.さっそくアクセスしてみましょう.

(WebCalender 1.2.7 を使用.なお言語を日本語に変更しています)

WebCalendar のセキュリティ検査

図2 WebCalender のセキュリティ検査

セキュリティ検査は左上にあるメニューのレポートから表示することができます.

セキュリティ検査の結果の状態詳細を見ると,すべて緑の OK マークが表示されているため問題は無いようですね...と思いきや,おもむろに install/ へアクセスしてみます.

WebCalender インストール

図3 WebCalender のインストールディレクトリ

はい.完全に install/index.php が残っていてアクセス可能な状態です.

つまりセキュリティ検査機能の項目には install ディレクトリの存在確認の項目は無く,たとえ install ディレクトリが残っていたとしても,セキュリティ検査の警告対象になりません.

初回のインストール後に,settings.php の書き込み権限を無くしてあれば,勝手にインストール作業をされることはありません.しかしながら install/index.php に脆弱性があった場合は,コマンド実行されるなど,攻撃の影響を受ける可能性があります.

セキュリティ検査機能の結果だけを過信せず,install ディレクトリへアクセスされないように対策をしておきましょう.


まとめ

WebCalendar と呼ばれる,予定管理ソフトウェアのインストールに使用されるディレクトリを探索する攻撃を検知したので紹介しました.インストールディレクトリは初回インストール後に不要となるので,アクセスできないようにしておきましょう.

また WebCalender の標準機能であるセキュリティ検査では,インストールディレクトリの有無はチェック項目にありません.既に WebCalendar を利用している場合は,セキュリティ検査で問題が無かったとしても,念のためにインストールディレクトリにアクセスできてしまわないか確認することを推奨します.

予告:ハニーポット観察記録2013年度まとめレポートのようなものを3月下旬か4月上旬ごろに公開予定です.

余談
今回の攻撃の User-Agent は「MSIE 6.0; Windows 98」でした.もうそろそろ絶滅する(した?)ブラウザバージョン・OS の組み合わせだと思います.通常利用しているユーザは皆無でしょう.となると,この User-Agent を使用したアクセスは不審である可能性が高いです.一部の攻撃ツールでは User-Agent を変更する機能が無いので,IE6 や Windows 98 といった User-Agent を使用せざるを得ません.htaccess 等で遮断する対象の User-Agent に入れてしまうというのも,そろそろセキュリティ対策の1つとして考慮して良い時期なのではないでしょうか.

余談 その2
今回の WebCalendar の攻撃はとある1つのハニーポットでのみ検知しました.他のハニーポットでは全く検知していなかったので,かなり珍しい攻撃でした.

参考情報

WebCalendar 公式サイト
http://www.k5n.us/webcalendar.php

 

Written by 森久

2月 25th, 2014 at 8:14 pm