Go to Qiita Advent Calendar 2024 Top
LoginSignup
9
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@melymmtin三菱電機株式会社情報技術総合研究所セキュリティ技術者コミュニティ

ハニーポット観測:VPN機能の脆弱性(CVE-2024-24919)を狙う攻撃に関する観測内容

Posted at

はじめに

三菱電機 情報技術総合研究所では製品開発時のセキュリティ対策にフィードバックする目的で、ハニーポットを設置・運用しています。
ハニーポットとは、不正な攻撃を受けることを前提として構築し、受けた攻撃の観測を目的とする囮システムです。
弊社は複数の種類のハニーポットを運用しており、今回はクラウド環境を利用して世界の各地域に設置しているハニーポットで観測された、VPN機能を狙っていると見られる攻撃パケットについてご紹介します。

脆弱性の概要

本記事では特定の製品のVPN機能に存在する、情報漏えいの脆弱性(CVE-2024-249191)を取り上げます。
本脆弱性は、製品のエンドポイントのURLである“/clients/MyCRL”に対して、相対パスで親フォルダを指定するパケットを送信することで、本来アクセスできないはずの非公開フォルダに置かれたファイルにアクセス可能になります(ディレクトリトラバーサルと呼ばれる攻撃に関する脆弱性です)。
脆弱性を悪用した攻撃が成功すると、攻撃者は指定したパスに存在するファイルを参照可能になります。

本脆弱性の影響を受ける製品を特定の設定で使用している場合、本脆弱性を悪用することで、認証なしでリモートから任意のファイルを読み取ることが可能になります。
脆弱性の影響する製品および脆弱性への対応などは、JPCERT/CCによってまとめられています2ので、そちらをご覧ください。
本脆弱性のNVDにおける公開は2024/05/28ですが、2024/4月末頃より攻撃が観測されていたという報告があり、ゼロデイ脆弱性として悪用されていた模様です。

弊社における観測状況

弊社のハニーポットでは、月間1000万程度のパケットを観測しています。
観測したパケットの中から、本脆弱性を狙ったと見られる攻撃をNVDでの公開日である2024年05月28日の1週間後である2024年6月4日に観測・発見しました。
本脆弱性のPoC3は2024/5/30に公開されたことを確認しており、PoCの利用により攻撃が容易になったと考えられます。
攻撃の難易度が低下したことで攻撃者が増加し、攻撃パケットを送信するIPアドレス範囲が拡大したため、弊社のハニーポットでも観測されたと推測しています。
また、7月上旬にも同様の脆弱性を狙ったと見られる攻撃を再び観測しています。

Qiita_CVE-2024-24919_観測状況.png

弊社では上記グラフで示した7月以降、本脆弱性を狙ったパケットを観測していません。
しかし、本脆弱性はPoCが公開されており、攻撃者による悪用が容易な状況にあります。
そのため、この脆弱性の影響を受ける製品を使用している場合には、早急な対策が必要です。

観測したパケットの内容

弊社のハニーポットで観測した、CVE-2024-24919の脆弱性の悪用を試行するパケットの内容をご紹介します。
観測したパケットはHTTPのPOSTメソッドを用いて送信されており、以下に示す相対パスのURLとペイロードが記述されていました。

URL(相対パス) ペイロード
/clients/MyCRL aCSHELL/../../../../../../../etc/shadow
aCSHELL/../../../../../../../config/db/initial
aCSHELL/../../../../../../../sysimg/CPwrapper/SU/Products.conf

観測したパケットは“/clients/MyCRL”というエンドポイントのURLを指定した上で、設定ファイルなどのパスが記述されていました。
脆弱性を悪用した攻撃が成功すると、攻撃者が指定したパスに存在するファイルを参照可能になります。
例えば/etc/shadowは、Linuxにおいてユーザーのハッシュ化したパスワードの情報などを格納するファイルです。
/etc/shadowを参照することで、ユーザーのパスワード情報を窃取する際の糸口として利用することが想定されます。

おわりに

VPN機能に関する脆弱性は、悪用すれば社内ネットワークへの侵入による機密情報の入手ができるなど、攻撃者にとって利用価値が高いと考えられます。
例えば警察庁発行の"令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について4"では、ランサムウェアの被害にあった企業・団体におけるランサムウェアの感染経路は47件中22件がVPN機器経由であったとしています。

今回ご紹介したVPN機能に関する脆弱性については、PoCの公開後まもなく攻撃パケットを観測しており、VPN機能の脆弱性に対する攻撃者の関心の高さが伺えます。
これより、VPN機能といったリモート接続可能な機能に存在する脆弱性に対しては、より一層迅速な対応が必要と考えています。

弊社では今回のご紹介した事例のように、継続的にハニーポットを用いた攻撃パケットの観測/分析を実施しております。
今後もQiitaを通じて観測結果をご報告する予定です。

  1. https://nvd.nist.gov/vuln/detail/cve-2024-24919

  2. https://www.jpcert.or.jp/newsflash/2024053001.html

  3. Proof of Concept code:脆弱性の検証用プログラムコード

  4. https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf

9
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
9
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?