概要
脅威アクターが、セキュリティトレーニングや内部ペネトレーションテストに使用される設定が不適切なWebアプリケーション(DVWA、OWASP Juice Shop、Hackazon、bWAPPなど)を悪用し、Fortune 500企業やセキュリティベンダーのクラウド環境への不正アクセスを行っていることが明らかになりました。自動ペネトレーションテスト企業Penteraの調査により、ハッカーがこの攻撃経路を利用してシステムを侵害し、仮想通貨マイナーを展開したり、ウェブシェルを植え付けたり、機密システムへの足がかりを築いている証拠が発見されました。
脆弱なテスト用アプリがもたらす危険性
これらのテスト用Webアプリは意図的に脆弱に設計されており、パブリックインターネットに公開され、特権的なクラウドアカウントから実行されると、深刻な侵害リスクをもたらします。Penteraの研究者は、AWS、GCP、Azureといったクラウド環境にデプロイされた、1,926もの脆弱なアプリケーションが公開Web上に存在することを発見しました。これらの多くは、過剰な権限を持つIAM(Identity and Access Management)ロールと紐付けられており、半数以上でデフォルト認証情報がそのまま使用されていました。
公開されていたアプリの中には、Cloudflare、F5、Palo Alto NetworksなどのFortune 500企業のものも含まれており、Penteraから通知を受けた各社は既に問題に対処済みです。研究者が発見した認証情報は、S3バケット、GCS、Azure Blob Storageへのフルアクセス権、Secrets Managerへの読み書き権限、コンテナレジストリとの連携、さらにはクラウド環境への管理者アクセス権を攻撃者に与える可能性がありました。
活発な悪用事例を確認
Pentera LabsはBleepingComputerに共有されたレポートで、このリスクが理論上の懸念に留まらず、攻撃者がすでにこれらの攻撃経路を活発に悪用していることを確認しました。「調査中、我々は攻撃者が実際にこれらの攻撃ベクトルを悪用し、侵害されたシステムに仮想通貨マイナー、ウェブシェル、および永続化メカニズムを展開している明確な証拠を発見しました」と研究者は述べています。
不正使用の証拠は、設定が不適切な複数の脆弱なアプリケーションを評価する中で浮上しました。研究者がシステムにシェルを確立し、データを列挙した結果:
- 616のDVWAインスタンスのうち、約20%で悪意のあるアーティファクトが発見されました。
- 仮想通貨マイニング活動には、XMRigツールが使用され、Monero(XMR)がバックグラウンドで採掘されていました。
- 「watchdog.sh」というスクリプトを使用した高度な永続化メカニズムも発見され、削除されても自身を復元し、GitHubからXMRigを再ダウンロードする仕組みでした。
- その他の事例では、ファイル操作(読み取り、書き込み、削除、ダウンロード、アップロード)とコマンド実行をサポートする「filemanager.php」というPHPウェブシェルが展開されていました。このウェブシェルにはハードコードされた認証情報が含まれ、タイムゾーンがヨーロッパ/ミンスク(UTC+3)に設定されており、オペレーターの出身地を示唆する可能性がありました。
推奨される対策
Penteraは、組織に対し、クラウド内のすべてのリソース(テスト用アプリを含む)の包括的なインベントリを維持し、本番環境から分離することを推奨しています。また、非本番システムには最小権限のIAMロールを強制し、デフォルトの認証情報を変更すること、一時的なリソースには自動期限切れ設定を行うことが重要です。