日本で2番人気のSNSを攻撃された時の話

親ロシアのハッカー集団「日本で2番人気のSNSを攻撃」にネットずっこけ「なんでmixiなんだ」(SmartFLASH) - Yahoo!ニュース

日本政府が運営する行政情報の窓口サイトや

私も過去に使ったことのあるmixiなど

ほどほど有名な日本のシステム(サービス)が

システム障害で一時サービスに接続ができない等のトラブルが発生した。

 

マインクラフトマルチサーバ

Prince Serverでもこの時期にサーバー攻撃を受け

サービス停止を検討する事態となった。

 

その時の攻撃ログの一部を表にしてみた。

Time Level Type Source Threat country
2022/9/15 10:40 H External Attacks 195.178.120.159 WEB Remote Command Execution via Shell Script -1.a オランダ
2022/9/15 8:33 H External Attacks 152.89.196.211 WEB Apache HTTP Server Path traversal (CVE-2021-41773) ロシア連邦
2022/9/15 8:03 H External Attacks 152.89.196.211 WEB Generic XXE Information Disclosure -1 ロシア連邦
2022/9/15 7:26 H External Attacks 78.187.233.25 WEB Remote Command Execution via Shell Script -1.a トルコ
2022/9/15 3:30 H External Attacks 120.86.252.131 WEB Remote Command Execution via Shell Script -1.a 中国
2022/9/14 12:41 H External Attacks 222.140.240.125 WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561) 中国
2022/9/14 12:18 H External Attacks 161.35.231.174 WEB Masscan Scanner Activity アメリカ合衆国
2022/9/14 11:04 H External Attacks 152.89.196.211 WEB Apache HTTP Server Path traversal (CVE-2021-41773) ロシア連邦
2022/9/14 10:41 H External Attacks 152.89.196.211 WEB Generic XXE Information Disclosure -1 ロシア連邦
2022/9/14 0:56 H External Attacks 59.94.203.63 WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561) インド
2022/9/13 22:11 H External Attacks 58.44.242.240 WEB Remote Command Execution via Shell Script -1.a 中国
2022/9/13 18:05 H External Attacks 12.220.156.28 WEB Remote Command Execution via Shell Script -1.a アメリ
2022/9/13 16:52 H External Attacks 37.21.19.118 WEB Remote Command Execution via Shell Script -1.a ロシア連邦
2022/9/13 13:49 H External Attacks 152.89.196.211 WEB Apache HTTP Server Path traversal (CVE-2021-41773) ロシア連邦
2022/9/13 13:16 H External Attacks 152.89.196.211 WEB Generic XXE Information Disclosure -1 ロシア連邦
2022/9/13 0:45 H External Attacks 152.89.196.211 WEB Apache HTTP Server Path traversal (CVE-2021-41773) ロシア連邦
2022/9/13 0:17 H External Attacks 152.89.196.211 WEB Generic XXE Information Disclosure -1 ロシア連邦
2022/9/12 22:33 H External Attacks 117.26.72.90 WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561) 中国
2022/9/12 14:00 H External Attacks 115.49.24.169 WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561) 中国
2022/9/12 9:36 H External Attacks 152.89.196.211 WEB Apache HTTP Server Path traversal (CVE-2021-41773) ロシア連邦
2022/9/12 8:12 H External Attacks 152.89.196.211 WEB Generic XXE Information Disclosure -1 ロシア連邦
2022/9/11 15:55 H External Attacks 49.143.32.6 WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561) 韓国
2022/9/11 6:28 H External Attacks 112.31.139.41 WEB Remote Command Execution via Shell Script -1.a 中国
2022/9/11 3:41 H External Attacks 122.53.46.16 WEB Remote Command Execution via Shell Script -1.a フィリピン
2022/9/11 3:23 H External Attacks 152.89.196.211 WEB Generic XXE Information Disclosure -1 ロシア連邦
2022/9/10 23:57 H External Attacks 45.164.20.124 WEB Remote Command Execution via Shell Script -1.a 中国
2022/9/10 9:57 H External Attacks 112.94.97.56 WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561) 中国
2022/9/10 9:30 H External Attacks 45.164.20.113 WEB Remote Command Execution via Shell Script -1.a 中国
2022/9/10 5:16 H External Attacks 104.152.52.144 WEB Masscan Scanner Activity 中国

※CVEとは?

共通脆弱性識別子(Common Vulnerabilities and Exposures)略してCVE。

米国政府の支援を受けた非営利団体のMITRE社が採番している識別子。

とりあえず便利なので使ってる脆弱性の番号的なもの。

-------------------------------------------------------------------------------------------------

 

Prince Serverは日本でそれなりの規模のサーバーだと認識されてるらしい。

5日間にわたり継続的な攻撃をご丁寧にしていただいた。

突破された形跡はないが攻撃手法について書いていこう。

 

説明に入る前の前知識

※共通脆弱性評価システムCVSS

情報システムの脆弱性を評価する一般的な手法。

基本評価基準,現状評価基準,環境評価基準の3つの基準で算出する

最終的に

深刻度 スコア
緊急(Critical) 9.0 〜 10.0
重要(Important) 7.0 〜 8.9
警告(Warning) 4.0 〜 6.9
注意(Attention) 0.1 〜 3.9
なし(None) 0

の範囲でスコアが振られる。

(最大は10だが、だいたい9.8になることが多い。)

-------------------------------------------------------------------------------------------------

攻撃手法

・WEB Masscan Scanner Activity

Masscanによるポートスキャン。

利用可能なポートまたはサービスを探し、攻撃先を見つける。

格闘技でいうところのジャブのようなもの。

 

・WEB Remote Command Execution via Shell Script -1.a

OSコマンドインジェクション。

Webサイトに向けて不正な入力を行うことにより、Webサーバ側で想定していない動作をさせるサイバー攻撃

古典的な攻撃だが、悲しい話、ほどほどに有用な攻撃手段。

 

・CVE-2018-10561

CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): 高
完全性への影響(I): 高
可用性への影響(A): 高

Dasan GPON ホーム ルーター脆弱性

(参考):

【セキュリティ ニュース】対GPONルータ攻撃を観測 - 同発信元から仮想通貨発掘ソフト狙うアクセスも(1ページ目 / 全1ページ):Security NEXT

この日の攻撃の本丸だと思われる。特に困る攻撃ではないが。

 

・WEB Generic XXE Information Disclosure -1

XML外部実体攻撃。XML 外部エンティティ (XXE)に対する攻撃。

これは地味に嫌な攻撃。

 

・CVE-2021-41773

Webサーバーソフトウエア「Apache HTTP Server」に対する攻撃。
脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能でさらに再度脆弱性の影響が評価された結果深刻度が最高になった過去がある脆弱性

Apache HTTP Serverのバージョンによって影響が異なる

バージョン CVE-2021-41773 CVE-2021-42013
Apache HTTP Server 2.4.48以前のバージョン
(2.4.48は2021年6月1日リリース)		 対象外 対象外
Apache HTTP Server 2.4.49
(2021年9月16日リリース)		 対象 対象
Apache HTTP Server 2.4.50
(2021年10月4日リリース)		 対象外 対象
Apache HTTP Server 2.4.51
(2021年10月7日リリース)		 対象外 対象外

 

さいごに

なにげなく使っているサービスでも日頃から攻撃を受ける、または攻撃を受ける可能性があることを再確認した。

当サーバでは対策を打っていたので大事にはならなかったが、こういった攻撃に対しての備えや準備は重要である。

「何事もなく使えている」の裏側では、多大な努力をもって日々サービスを支えている方々いるということの周知と理解を求めたい。

 

 

 

初めに

ユーザーからのご要望で

マインクラフトマルチサーバー

「Prince Server」の公式ブログを書いてみることにしました。

 

マインクラフトマルチサーバーを運営していく上での

悩みや問題の解決方法、技術的なあれこれを

自由気ままに書き込んでいこうと思います。

 

マインクラフト 公開マルチサーバー

Prince Server

シンプルなマルチサーバーでのんびりワイワイ遊んでいきたい人は是非参加してみてください!

参加方法 ⇒ https://twitter.com/princeserverjp/status/1547853478055350272?s=20&t=AXs8IIN6Xwnls4kLIgVfDg

Twitterhttps://twitter.com/princeserverjp

wikihttps://princeserver.jp Princeserver Shop⇒ https://shop.princeserver.jp