2016年10月25日火曜日

Security:フィッシングに悪用されるウェブアプリケーションの脆弱性

よくみたら4月からずーっと放置していました(汗)。最近はTwitterなりFacebookなり、Instagramなりと便利なのが沢山あって、Blogってついつい放置してしまうんですよね。えぇ言い訳です。

今日は、久しぶりなのですが、ちょっと車や自転車、カヌーから離れて、本職のDJ・・・ではなくて、サイバーセキュリティ関連のお話を書きましょう。
#これからはちょっとそんなネタ、時々書こうかと思いますが
#メインはあくまでクルマと自転車とカヌーです。

こういうお仕事=セキュリティエンジニア・コンサルタントをしていると、結構な頻度で「こんな変なメールが送られてきたんだけど」とか「変な添付ファイルが~」というご相談を友達からもお客様からも受けます。

先日もお友達のDJから、Appleを騙った変なメールが来ているんだけど、見て!ということでメールを転送していただきました。

それがこちらです。
ありがちですねー。「こんなの引っかかるの?」と思う方も居るかと思いますが、結構いるんだと思います。いなければこのビジネスモデルがここまで長く続くとも思えないです。

それでは、メールのソース(これはHTMLメールです)を見てみましょう。



 おや?なんかおかしいです。赤枠の中を見てください。フィッシングで使われるリンクは割と素直なリンク(?)が使われているのですが、このリンク、宛先URL以降の引数(=以降)にまた別のURIが含まれています(実は宛先URLは超有名企業のWebページです)。

これ、なんとなく、OpenRedirectの脆弱性を悪用されている臭いがします。Open Redirectの詳細についてはGoogle先生にお任せするとして、仕組みだけちょっと解説します。

 上図赤枠を拡大しましたが。赤枠内のリンクは以下のようになります

https://[Victim Domain]/external-link.jspa?url=[Redirect URL/URI]

 Open Redirectの脆弱性を悪用する場合、攻撃者は[Redirect URL/URI] にターゲットを誘導しようとします。つまり、今回の不審なメールではhttp://dhow.~と書かれているアドレスにターゲットを誘導しようとしていると考えています。そのための踏み台として、上に書かれている[Victim Domain=有名サイト]の脆弱性を悪用しようとしているという事になります。

 攻撃者からすると、ターゲットが[Victim Domain]しか見ていないとの計算でしょう。実際攻撃としては非常に有効だと考えます。

脆弱性の有無の観点について、ちょっと検証してみましょう。実際に踏んでみます。


 こんな感じになります。墨塗りが多くてわかりにくい(あとで書きますが、これ、Webアプリに脆弱性がある・・・ので確実に特定できそうな箇所は墨塗りとしました。URIみればわかりそうですが)かもしれませんが、実際にOpenRedirectが成功して、任意のWebSiteに誘導できている事がわかります。

このファイル(URI)について、Google先生に聞いてみました。


 上のFiddlerでの結果(Cookieの名前)からも少し見えているのですが、どうもJiveというエンタープライズ向けコミュニティサイト構築のプラットフォームに関連している可能性があるようです。

Collaboration Software Solutions by Jive Software
https://www.jivesoftware.com/

exteral-link.jspaについてのQ&Aも、Jiveのコミュニティで見受けられます。この検索結果にあるリンク先についても同じような挙動が見えています。

 先のURL/URIの誘導先が、例えば脆弱性をつく目的で作られたサイト(ExploitKitが仕掛けられている)であれば。。。またはMalwareにリダイレクトされていたら。。。被害は想像に難くないかと思います。

少し専門的な話になりますが、このリダイレクト元となっているサイトについてはちゃんとCookieをセットしていて、セション管理できる状態です。このexternal-link.jspaについても外部からのダイレクトなアクセスの制限をする等、対策は可能です。

不審メールについては、最近特に増加傾向にあります。

リンク先を開かない、添付ファイルを開かない、という事、徹底することが被害にあわない為の基本的な対策です。。。。と、このメールを転送していただいたDJにもお伝えしておく次第です(^^)。

なお、本件についてはメーカーに確認をしておりますが無回答のため既知、未知の脆弱性の判断はできていません。ただし、すでに悪用が広く確認されていることから注意喚起として、公開・情報提供させていただきます。

----------------------------------------------------------------------------------
25/Oct/2016  公開 /  開発元コンタクト試行、継続中(無回答)
27/Oct/2016 誤字を修正、開発元コンタクト試行(無回答)