1.はじめに
Django(ジャンゴ)はPythonで実装されており、MVC(Model-View-Controller)デザインパターンを従うオープンソース・ウェブ・フレームワークです。ウェブ開発にて煩雑な要素を改めて開発せず、自体機能だけで速やかな開発ができるという長所があります。そんなDjangoにデバッグモードが活性化されると、ウェブアプリケーションのDBアカウント及びパスワード、そしてAPIキーがネットでそのまま漏えいされてしまいます。
これはつまり、Instagram,PBS, MozillaのようにDjangoを用いて開発されたウェブサイトを通じて個人情報や重要な文書ファイル等を手軽に奪取できることを意味します。
今日はSecurity OSINT検索エンジンでのDjangoやLaravel等のウェブアプリケーションとそれに関わるキーワード検索を通じてクレデンシャル(Credential)情報漏れの深刻さを調べてみます。
2.クレデンシャル(Credential)とは
クレデンシャル(Credential)の辞書上の意味は「資格証明」で、通常では特定の人がその資格を持っているかを証明する手法を表します。あらゆる身分証と証明書などがCredentialに含まれます。
しかし、クラウド環境や Facebook、Twitter、Line などのように Access Key ID/Secret Key を持って、ソーシャル認証に使われる Oauth でもクレデンシャルという用語を使用します。
最近、クレデンシャルは認証に関するキーだけではなく、クラウド内部のVPC網のIP情報などを包括的に称するに用いられます。
3.検索で「Access Key情報」を探す
Security OSINT検索エンジンであらゆる認証に関する情報(Access Key, Secret Access Key)等のキーワードを検索すると、度々Credential情報が漏えいされているケースを見られます。特に、Oauth認証やRESTfull API Credential情報が漏えいされているリスクも少なくありません。
- Access Key ID:一般ウェブサイトのIDのようなもの。略してAccess Key(アクセスキー)と呼ぶ。
- Secret Access Key:一般ウェブサイトのパスワードのようなもの。略してSecret Key(シークレットキー)と呼ぶ。
例えば、アマゾンクラウドで使用するAccess Keyのタイプは下のように構成されます。
また、バケットページ検索で認証に関する情報を見つけられます。バケット(Bucket)とは貯蔵庫を表すもので、クラウドサービスでのバケットは主にストレージ(Storage)を意味します。このバケットにアクセスできる場合はファイルサーバーへ入り込んで公開されていないファイルを抜き取ることもできる問題があります。まずは、「READ_BUCKET_NAME」を入力し、読み取りモードができる Bucket キーワードを検索してみました。
上の検索フィルターで検索した結果の中で、「NAVERCloud VOD Service TBD」 というサイトが24ヶ所検索されます。おそらく、Naver Cloud ユーザーのためのバケットアップロードデモページだと考えられます。
ここで問題になるのは、HTML テキストにファイルアップロードテストで使われるデモ用の Endpointドメイン・アドレスと Access Key ID、Access Secret Key が漏えいされていることです。このように隠されているべきの Secret Key までフロントエンドに漏えいされているサイトがかなり多いです。
4.検索で「デバッグモード」のサイトを探す
PHP ベースのララベル フレームワーク(Laravel Framework)や Python 言語で開発されたジャンゴ(Django)ウェブ アプリケーション フレームワークはすべて利便性のために、デバッグ モード(Debug Mode)を提供します。
ジャンゴ(Django)で開発されたウェブ サイトに Debug モードが活性化されたら、エラーが起こる際、エラーメッセージに敏感な情報を漏洩する問題が発生しますが、これはジャンゴとララベルのフレームワーク両方に同じく発生する症状です。
キーワード「DisallowedHost at」(Djangoのフレームワーク)で検索すると、Djangoの活性化されているサイトを検索できます。
Djangoのウェブアプリケーションで漏えいされる HTTP リクエスト ヘッダ 情報には今まで話した APIキーだけではなく、その上に認証に関する Admin アカウント及びパスワード情報、データベースのアカウント情報も含まれています。
Django以外のプラットフォームLaravel(ララベル)を対しても検索ができ、Laravelのデバッグモードが活性化されているサイトを検索するには次の検索フィルターを参考できます。
「title: "Whoops! There was an error"」
-
https://www.criminalip.io/ja/asset/search?query=title%3A+%22Whoops%21+There+was+an+error%22
検索されたサイトはすべてララベル・デバッグモードが活性化されている IP アドレスで、ここにアクセスすると、エラーメッセージへ API キー情報、DB アカウント及びパスワード情報が漏えいされます。
5.APIキー全てがtxtファイル状態で漏えいされている場合
キーワード「APIKEY.txt」で検索すると、面白いことを見つけられます。
-
https://www.criminalip.io/ja/asset/search?query=APIKey.txt
このサイトへアクセスすると、下のように表し、ここだけを見ると、何の目的のサイトかわかりにくいです。しかし、ウェブサイトのソースをみると、話は変わります。
ウェブサイトのソースコードをみると、このサイトは firebase のデータベースを使用していることがわかります。そして、firebase Configuration に firebase SDK を使用する際、発行された API Key、AuthDomain、AppID 情報が漏えいされています。
その他にも中国の RESTfull API で見られるサイトも見つかり、管理者(Admin)の Access Token ハッシュ値が漏えいされていました。
Criminal IP の検索結果には度々 Credential 情報が含まれている HTML ファイルが発見されるが、この HTML ファイルは主にテストまたは、間違いで残られた場合が多いです。
下記2枚の画像は、アマゾン・クラウド・サービス(AWS)の IAM メーターデータが含まれている HTML ファイルや DynamoDB AWS Key がある HTML ファイルを発見した場合です。
1) HTMLファイル IAMメータデータの内容で、その中にはユーザーアカウント(User Account)に関する情報が含まれている
2) アマゾン・クラウド・サービス(AWS)の代表的なNoSQLサーバーの一つであるDynamoDBで生成されたHTMLファイルにAccess Key IDとSecret Key等のCredential情報が漏えいされる
キーワード ▶ 「dynamoDB Admin」
6. おわりに
クラウド・ネイティブ技術を用いて開発チームの生産性は驚くほど向上しています。しかし、生産性にフォーカスを合わせすぎて、セキュリティは後回しされているのではないかという懸念の声が高まっています。クラウド ネイティブ技術で最も多く使用されている APIキー がこのように漏えいされている姿はこのような声を裏付けます。
データベースが漏えいされている姿はただ、個人情報の漏えいだけではなく、「書き込み」 権限がある場合、データベースを造作することもできます。過去にはデータベースの ID/パスワードのようなアカウント管理にはセキュリティにフォーカスが合わせられていたが、クラウド時代の現在は APIキー でも「書き込み」権限がある場合が存在し、 APIキー1つで個人情報漏れまたは、造作までもできます。
速く進化するクラウド関連の技術に、果たして、エンジニアたちはセキュリティに関する部分にも同様についていっているかを綿密にチェックする必要があります。クラウド時代はこのように小さくて単純な設定エラーのような間違いで重要な情報がネットにさらされ、これによる個人とビジネス両方へ大きな被害を及ぼす大事故につながられることを心に刻むべきです。