Cyber​​Ark Enterprise Password Vaultで、”Critical”に分類されるリモートコード実行脆弱性が発見された。

ドイツのサイバーセキュリティ会社であるRedTeam Pentesting GmbHが発見した。(画像のリンクは同社のブログ記事)

脆弱性が見つかったEPVとは

そもそも、エンタープライズパスワードマネージャ（EPV）は、組織が機密パスワードを安全に管理するソリューションである。

EPVを使えば、クライアント/サーバーおよびメインフレームオペレーティングシステム、スイッチ、データベースの広範囲にわたる特権アカウントパスワードを制御し、外部の攻撃者や悪意のある内部者から安全に保つ事が出来る。

個人向けのパスワードマネージャ代表例としては、LastPassや1Passwordが有名である。

EPVは、企業向けのパスワードマネージャと考えればいいだろう。

脆弱性の概要

攻撃者がCyber​​Ark Enterprise Password Vaultにある脆弱性を悪用すると、Webアプリケーションの権限でシステムに不正にアクセスする可能性がある。

この脆弱性（CVE-2018-9843）は、Cyber​​Ark Password Vault Web Accessに存在する。

Cyber​​Ark Password Vault Web Accessは、顧客がリモートで任意のサービスにログイン出来るようにするアプリケーションで、.NETで書かれているようだ。

ディシリアライズ操作に存在するバグ

Webサーバが、ディシリアライズ操作を適切に行わないバグが存在し、攻撃者は、サーバ上でコードを実行して、不適切にディシリアライズされたデータを悪用する。

そもそ、シリアライズとは、オブジェクトをバイト列に直す操作を意味し、ディシリアライズはその対義語。

つまり、ディシリアライズはバイト列からオブジェクトを復元する操作のことだ。

研究者によると、ユーザーが自分のアカウントにログインすると、アプリケーションはREST APIを使用してサーバーに認証要求を送信する。

この時、認証要求はbase64でエンコードされ、シリアル化された.NETオブジェクトを含む認証ヘッダーを含む。

この時、シリアル化された.NETオブジェクトは、ユーザーのセッションに関する情報を保持している。

しかし、RedTeamの研究者は「CyberArkのEPVでは、シリアル化されたデータの整合性が保護されていない」と指摘した。

サーバーはシリアル化されたデータの整合性を検証せず、ディシリアル化操作を安全に処理していなかった。

その結果、攻撃者は認証トークンを操作して認証ヘッダーに不正なコードを挿入すれば、Webサーバー上で認証されていないリモートコードを実行できるのである。

CyberArkは修正、パッチ版を公開済

研究者は、オブジェクトの安全でない直列化を実行する.NETアプリケーションのペイロードを生成するためのオープンソースツールであるysoserial.netを使用して、この脆弱性のPoCコードをリリースした。

また、この脆弱性はCyber​​Arkに報告され、修正されたCyber​​Ark Password Vault Web Accessをリリース。

今回の脆弱性の詳細、PoCコードの詳細発表は、リリース後に行われた。

Cyber​​Ark Password Vault Web Accessを使用する企業は、ソフトウェアをバージョン9.9.5,9.10、または10.2にアップグレードするといいだろう。

ソフトウェアをすぐにアップグレードできない場合は、回避策としてroute / PasswordVault / WebServicesでのAPIへのアクセスを、全て無効にすべきだ。

thehackernews.com

"ID-as-a-Service"プラットフォームの最大手であるAuth0に、重大な認証バイパス脆弱性が発見された。

悪意のある攻撃者は、この脆弱性を悪用すると、認証にAuth0を使用するポータルまたはアプリケーションにアクセスできる可能性がある。

Auth0とは

Auth0は、ソーシャルメディア認証をアプリケーションに統合する機能を含む”IDentity as a Service”である。

多くのプラットフォームで、トークンベースの認証ソリューションを提供している。

Auth0は、2000以上の企業を顧客として抱え、同サービス上では毎月4200万ログインが行われている。

発見された2つの脆弱性について

CVE-2018-6873

セキュリティ会社”Cinta Infinita”のセキュリティ研究者は、Auth0のLegacy Lock APIにバグ（CVE-2018-6873）を発見し、同社のブログで公開した。

このAPIは、JSON Webトークン（JWT）のオーディエンスパラメータの不適切な検証をする目的で存在する。

研究者は、Auth0認証で実行されているアプリケーションに対して、簡単なクロスサイトリクエストフォージェリ（CSRF / XSRF）攻撃用コードを使用し、この脆弱性を悪用したログイン認証の回避に成功した。

CVE-2018-6874

また、脆弱性はもう一つ存在する。

攻撃者は、Auth0のCSRFの脆弱性（CVE-2018-6874）を悪用すると、別のアカウントに対して生成された有効な署名付きJWTを再利用して、標的とする被害者のアカウントにアクセス出来る。

攻撃者が必要なのは、シンプルなソーシャルエンジニアリングの技を使用して取得できる、犠牲者のユーザーIDまたは電子メールアドレスのみである。

攻撃のデモンストレーションビデオ

セキュリティ企業は、認証トークンを偽造してAuth0の管理ダッシュボードにログインする際に、犠牲者のユーザーIDとバイパスパスワード認証を取得したことを示すPoC（proof-of-concept）ビデオをリリースした。

以下は、そのPoCビデオである。

www.youtube.com

研究者によれば、この攻撃は多くの組織に対して再現可能のようだ。

攻撃には、JSON Web Token（以下、JWT）を使用する。

簡単に説明すると、JWTとは幾つかの命令を含み、サーバーサイドで秘密鍵(又は証明書)と共にサインされたJSONオブジェクトである、

JWTのセキュリティが担保されているのは、サーバーサイド(つまり、管理者)が秘密鍵(又は証明書)を保持している事に依存しているのである。

セキュリティ会社は、2017年10月にAuth0セキュリティチームにこの脆弱性を報告。同社は非常に早く行動し、4時間以内に脆弱性の修正を行なったようだ。

ただし、Auth0の脆弱なSDKとサポートされているライブラリがクライアント側で実装されているため、この問題を一般に公開する前に、Auth0は各顧客に連絡してから、完全に脆弱性を解決するのに約6ヶ月を要した。

Cinta Infinitaによって発見された特別なケースの修正とは異なり、Auth0チームは、この問題は、顧客がライブラリ/ SDKのアップグレードを強制することなく解決する事が出来なかった。

影響を受けたライブラリを大幅に書き直し、新しいバージョンのSDK（auth0.js 9とLock 11）をリリースすることで、この脆弱性を緩和した。

Cinta Infinitaは、この脆弱性を一般に公開するまでに6ヶ月間待っていました.Auth0チームには、社内のすべてのSaaSアプライアンス（オンプレミス）をアップデートするのに十分な時間が与えられた。

技術的な詳細は、以下のCinta Infinitaのブログから確認できる。

Knocking Down the Big Door

thehackernews.com

過去2日間にFacebookの市場価値が600億ドル以上下落した。

この額はテスラ・モーターズの時価総額以上で、Snapchatの3倍近い。

ここまで甚大な時価総額の下落をもたらしたのは、英国のデータ分析会社「ケンブリッジ・アナリティカ（Cambridge Analytica）」がFacebookから取得したデータの使用方法に関わる。

同社は、ドナルド・トランプ氏が2016年に米国大統領に就任する手助けをしたデータ分析を専門とする企業だ。

事件の発端は、同社の社員であるクリス・ワイリー（Chris Wylie）が、Facebookが人々の個人情報をどのように扱っているかを新聞へ行なったリークである。

ワイリー氏は、ケンブリッジ大学の学者として働いていた28歳のデータ科学者だ。

Wylieはケンブリッジアナリティカが様々な情報源から収集した個人情報に基づいて市民の投票パターンを予測し、政党がカスタマイズした広告やメッセージで投票者をターゲットにするのを助ける「Steve Bannonの心理誘導ツール」を作成したと供述。（訳注：原文では”Steve Bannon's psychological warfare mindf**k tool”という名前で表記されている）

先週から多くのことが起こっているので、これまでに「FacebookとCambridge Analytica」の間で何が起こったのか、どう進展したか説明するために記事をまとめた。

ケンブリッジアナリストが50万人のFacebookユーザーのデータを収集する仕組み

4年前、ケンブリッジ大学の心理学者Aleksandr Kogan氏が、研究者Michal Kosinskiにアプローチした。

Kogan氏の狙いは、Facebookのユーザーデータを入手する為に、Kosinski氏と共同で簡単なオンラインパーソナリティクイズアプリを作成。

ユーザーはクイズに解答するためにはFacebookにログインして参加する必要がある。

Kosinski氏は自分のアプリが収集したデータを提供することを拒否したが、ケンブリッジ大学はKogan氏に80万ドル以上を支払って同様のクイズアプリを作成し、Facebookのユーザーのプロフィールデータを収集し続けたようだ。

この時Kogan氏が作成したクイズアプリ「thisisyourdigitallyife」は多くのユーザーに利用されたクイズアプリとなった。

27万人のFacebookユーザーが参加することになったにもかかわらず、FacebookのAPIは当時、アプリを利用したユーザーの友人に関する情報までも収集していたのだ。

Facebookユーザーは、友達リストに平均何百人もの友人がいるので、Kogan氏は27,000人のユーザーベースを活用して、約5,000万人のFacebookユーザーのデータを収集したのだった。

今すぐFacebookデータを使用してサードパーティのアプリケーションを停止しよう

Cambridge Analyticaのクイズアプリだけでなく、Facebookのタイムラインでは他にも何千ものアプリが存在する。

たとえば以下の様なものだ。

• 80歳になった時にどんな顔してるかチェック
• 似ている有名人は誰かチェック
• 今年のバレンタインの相手は誰かチェック

Facebookのすべてのアプリは、自分のFacebookアカウントを使ってアクセスし、自分の名前、場所、メールアドレス、友人リストなど、Facebookのプロフィールからさまざまな情報をアプリの開発者に与えるようユーザーの許可を求める。

この他にも、何十万ものウェブサイトで「Facebookでログイン」オプションがある。

そのオプションは、サイト管理者がワンクリックログイン/サインアップを提供してあなたの身元を簡単に確認できるようにする。

つまり、クイズアプリと同じように機能するのだ。

Facebookのデータにアクセスする許可を与えたサードパーティのアプリケーションを再訪し、データを使用したくない場合は完全に取り消すことなく、アプリのパーミッションを制限できる。

アプリのデータへのアクセスを無効にする手順

デスクトップコンピュータの右上隅にある下向き矢印をクリックし、メニューから[設定(Settings)]を選択。

次に、左メニューの中から、[アプリ]を選択する。

Facebookにログインしているすべてのアプリが表示される。

モバイルデバイスでは、メニューを開き（iOSは右下、Androidは右上）、[設定]→[アカウント設定]→[アプリ]→[Facebookでログイン]を選択する。

画像はiOS端末で操作している。

十字アイコンの横にある編集ボタン（鉛筆アイコン）をクリックして各アプリの設定を表示することで、アプリの権限を制限出来る。

ここから、各データポイントの横にあるチェックマークの選択を解除して、特定の権限を取り消せる。

Facebook創設者Mark Zuckerberg、ケンブリッジアナリストのスキャンダルについて謝罪

CNNのLaurie Segallとのインタビューで、Facebookの創設者Mark Zuckerbergは、ユーザーのプライバシーを守らなかったことについて謝罪。

Zuckerberg氏は、Laurieに対して以下のように語った。

「これは重大な信頼の侵害であり、このような自体が発生したのは残念な事である。」

Zuckerberg氏は、ケンブリッジ・アナリティカのスキャンダルに対処しながら、サードパーティの開発者がユーザーのデータにアクセスできるような仕様になっていたのは、大きな間違いであった事を認めた。

更にZuckerberg氏は、以下のようにコメントしている。

"今までで犯した間違いの中で、最大の間違い"

Zuckerberg氏は、「すべての問題を解決し、FacebookのAPIの乱用を防ぐために、同社が2014年以降どのようにポリシーを変更したのかを説明しつつ、今後はユーザーのプライバシーを保護する」ことを、世界中の顧客と株主を保証に対して約束した。

インタビューの最後に、Zuckerberg氏は、「（Facebook）プラットフォームの完全なフォレンジック監査を実施して、第三者のアプリが完全な同意なしにユーザーデータにアクセスし、データが不適切に使用されたと見られるすべてのユーザーに通知する」と述べた。

ザッカーバーグ氏「技術企業を規制する時」

一部の専門家は、ソーシャルメディア企業に対する消費者のプライバシーを保護するために、より厳しい政府規制が必要と考えている。

Zuckerberg氏もこの意見に同調し、ユーザーの個人情報を取り扱うテクノロジー企業に対して多くの規制を課すべきだと考える。

また、増加し続ける20億人ものユーザー・コミュニティを効果的に統制するためのツールとして、「人工知能」を推奨しているようだ。

Facebookは、本年末までに、セキュリティとプライバシーの運用を厳密に監視するために、新たに2万人以上の従業員を雇うとされている。

Facebookは個人情報の利用に関する国際調査に直面

ケンブリッジ・アナリティカに関するリークの後、世界各国の政府がFacebok社に対して厳しい目を向けている。

具体的に言えば、アメリカ、EU、英国、イスラエル、インド、カナダ等の国である。

以下に、各国政府のFacebook社に対する調査をまとめる。

アメリカ

米国連邦取引委員会（FTC）は、Cambridge Analyticaによって5,000万人以上のユーザーの個人情報の使用が、Facebookが2011年に代理店に署名した同意判決に違反しているかどうかを調査し始めている。

EU

欧州委員会は、データ保護当局にFacebookのデータ漏洩をCambridge Analyticaに調査するよう依頼。

同委員会がデータ保護法に違反すると判断すれば、同社に罰金を課す可能性がある。

イギリス

イギリス政府は、欧州委員会の調査とは別に、ケンブリッジアナリティカによってFacebookユーザーのデータが削除されたかどうかを調べるために、現地調査を令状をFacebook社に突きつけた。

イスラエル

イスラエル司法省はFacebookに対して「行政捜査」を行なった。

イスラエル人の個人情報の追加違反の可能性がある事をFacebookに勧告。

Cambridge Analytica CEOの極秘音声が公開

ケンブリッジ・アナリティカは、同企業の取締役を解任した。

ビデオが放映されたため、政界の選挙を動揺させる賄賂や売春婦の使用についても議論を進めているようだ。

取締役会の見解では、Nix氏の最近のコメントはチャンネル4で秘密裏に記録されているが、その他の主張は、彼の停止は、我々がこの違反行為を見る深刻さを反映している」と語った。

ちなみに、Nix氏は、ロンドンのチャンネル4ニュース（The Channel 4 News）が公開したビデオで、相手が賄賂を提供している捜査官のビデオを録画するなど、政治家のために汚い犯罪に取り組んでいることを明らかにしたのだ。

また、Nix氏は、潜在的なスリランカのクライアントと位置づけられたジャーナリストにも、彼の会社が候補者の居場所に「いくつかの女の子を周りに」送って候補者を妥協させる事もできるとビデオの中で語っている。

しかし、ケンブリッジ・アナリティカはビデオの中でNix氏が述べたような戦術に関与したことを否定。

ケンブリッジ・アナリティカを発端とした今回の事件は、Facebookだけでなく、生活のためのユーザーデータを販売する他のすべてのオンライン会社にとっても大きな意味を持つ事件である。

なお、Facebookの株式は、この執筆時点で、2.66％低下して164.89ドルになったようだ。

(This article is a Japanese translation of "Facebook and Cambridge Analytica – What's Happened So Far" at The Hacker News.)

securelist.com

Kasperskyのセキュリティ研究者は、2012年以来から現在に至るまで巧妙に開発されたマルウェアを駆使して隠密に活動を行っていたAPTハッキンググループを特定した。

そのハッキンググループは、中東とアフリカの数十万人の被害者をルータにハッキングして感染させるために、高度なマルウェア（Slingshot）を使用した。

同グループが使用するマルウェアの名前をとって、Slingshotというコードネームが付けられている。

この記事では、Kaspersky Labsが行なったが発行した25ページのレポート[PDF]に基づき、Slingshotに関して以下のポイントに分けてまとめていく。

• Slingshotグループについて
• Slingshotが最近行なった攻撃について
• Slingshotマルウェアについて

Slingshotグループについて

Slingshot自体がどの国に属するグループかは判明していない。

現段階で、同グループに関して分かる情報は「巧妙に細工されたツールを高度に熟練したスキルで操り、英語を話す国または政府機関をバックにもつ”ハッキンググループ」のみである。

カスペルスキーのレポートによれば、

「Slingshotマルウェアの構造は非常に複雑で、マルウェアの開発者は、開発に多くの時間と費用を費やした事が分かる。感染の広がり方は注目に値する」

と記されている。

尚、Slingshotのターゲットは広範囲に渡り、ケニア、イエメン、リビア、アフガニスタン、イラク、タンザニア、ヨルダン、モーリシャス、ソマリア、コンゴ民主共和国、トルコ、スーダン、アラブ首長国連邦など、多くの国々の政府機関が含まれている。

Slingshotが最近行った攻撃について

このグループは、ラトビアのネットワークハードウェアプロバイダであるMikrotikのルーターの未知の脆弱性をエクスプロイトした。

スパイウェアを被害者のコンピュータに感染させるために、Mikrotikルーターを踏み台として利用したのだ。

またカスペルスキーは同レポートにおいてWikiLeaksが公表したCIAVault 7 CIA Leaks

GitHubで利用可能なChimayRedの脆弱性を明らかにし、Mikrotikのルータを侵害していることを明らかにした。

ルーターがエクスプロイトされると、攻撃者はDDL（ダイナミックリンクライブラリ）ファイルの1つを悪意のあるファイルに置き換え、ユーザーがWinbox Loaderソフトウェアを実行した際に、ターゲット端末のメモリに細工されたコードを直接ロードする。

ちなみにWinbox Loaderは、MikrotikがWindowsユーザー向けに設計した公式管理ツールである。

ルータからDLLファイルをダウンロードしてシステム上で実行するルータを簡単に設定出来る。

以上のようにして、悪意のあるDLLファイルがターゲットコンピュータ上で実行され、リモートサーバーに接続して最終的なペイロード、つまりSlingshotマルウェアをダウンロードする。

Slingshotマルウェアに関する概要

Slingshotの目的は、情報収集、潜伏、データの外部送信である。

(Slingshotの挙動に関する図。KasperskyLabsのレポートより引用。)

また、Slingshotマルウェアには、2つのモジュールで構成されている。

• Cahnadr（カーネルモードモジュール）
• GollumApp（ユーザーモードモジュール）

以下のセクションでそれぞれについて説明していく。

Cahnadrについて

Cahnadrモジュール（別名NDriver）に備わる機能は以下になっている。

• アンチ・デバッグ
• ルートキット
• スニッフィング機能
• 他のモジュールの注入
• ネットワーク通信
• その他、基本的にユーザー・モード・モジュールが必要とするすべての機能

Cahnadrのカーネルモードプログラムは、ファイルシステム全体をクラッシュさせたり、ブルースクリーンを目立たせることなく、悪意のあるコードを実行する。

また、Canhadr / NDriverは、純粋なC言語で書かれている。

その事から、デバイスのセキュリティ制限にもかかわらず、HDDとオペレーティングメモリに完全にアクセスする事が出来、さまざまなシステムコンポーネントの整合性を制御する事が出来る。

つまり、システム管理者によるリバースエンジニアリングや、セキュリティ検出を妨げる機能を持っている。

GollumAppについて

GollumAppは、以下の様な機能を備えている。

• スクリーンショットのキャプチャ
• ネットワーク関連の情報の窃取
• Webブラウザに保存されたパスワード、キー・ロギング
• リモートのコマンドと制御サーバーとの通信を維持するスパイ機能

GollumAppはカーネルモードで動作し、SYSTEM権限で新しいプロセスを実行することもできるため、攻撃者は感染したシステムを完全に制御するとされる。

TechnicalAnalysisに関しては、KasperskyLabsのレポートが参考になる。

www.bleepingcomputer.com

セキュリティ企業のBitdefender、ルーマニア警察、EuropolがランサムウェアGandCrabの共同調査を行っている。

彼らは、先週GandCrab RansomwareのCommand＆Controlサーバーに対して（合法的に）ハッキングしてアクセスを行い、GandCrabの被害に遭ったファイルの一部を取得。

その後Bitdefenderは、被害者のファイルを復号化するツールを開発・リリースした。

この事を受けて、MalwareHunterTeamは、ランサムウェアの作成者であるGandCrabの開発者がより安全なC＆Cサーバーを含むGandCrabの第2版をリリースした事を発見。

GandCrab2 ("version=1.0.0r") sample: https://t.co/et7XM5DuzK
If someone didn't understand the previous thread (https://t.co/8iuXk9Phwa), these are from this.@BleepinComputer @demonslay335
cc @MarceloRivero

— MalwareHunterTeam (@malwrhunterteam) 2018年3月5日

バージョン2には、バージョン1との差別化を可能にする変更が含まれている。

この記事では、バージョン1と比べて何が変わったのか等、GandCrab Ransomwareに感染しているかどうかを確認する方法を簡単に紹介する。

GandCrab v2になって変わった事とは

バックエンドにおける目立った変更点は、ランサムウェアのCommand＆Controlサーバーのホスト名である。

新たなC&Cサーバーのホスト名は以下。

1. politiaromana.bit
2. malwarehunterteam.bit
3. gdcb.bit

①のpolitiaromana.bitはルーマニア警察、②のmalwarehunterteam.bitはMalwareHunterTeamを指す文字列である事がみてとれる。

GandCrabの開発者は、操作を進める同機関・団体に対する”皮肉”を込めてこのような名前にしたと考えられている。

GandCrabは、暗号化する前にC&Cサーバーにアクセスする。もしアクセス出来ない場合は暗号化を行わない。

どのようにホスト名の解決をする為に、http://ipv4bot.whatismyipaddress.com/にアクセスして被害者のグローバルIPアドレスを割り出す。

その他の変更

その他に施された変更は、暗号化ファイルに使用される拡張子、脅迫文、支払い用ページである。

以下にそれぞれ項目を分けて見ていこう。

拡張子への変更

バージョン2のGandCrabでは、暗号化されたファイルのファイル名に.CRAB拡張子が追加されるようになった。

たとえば、test.jpgが暗号化されると、test.jpg.CRABという名前に変更される。

(暗号化されたファイル。BleepingComputerより引用。)

脅迫文の変更

新しい脅迫文のファイル名はCRAB-Decrypt.txtである。

現在はToxインスタントメッセージングサービスを通じて開発者に連絡する方法が含まれている。

（GandCrabの脅迫文。BleepingComputerより引用。)

支払いページの変更

GandCrab v2のTOR支払いページが刷新された。

（身代金の支払い用ページ。BleepingComputerより引用。)

バージョン2の復号化ツールの有無

現段階ではバージョン2の被害に遭っても、復号化する手段が無い。

IOC

Hashes:

966a0852c8adbea0b7b7aada7c2c851ee642c7bca7da3b29ee143f47ddeb90a5

Associated Files:

CRAB-DECRYPT.txt

Ransom Note Contents:

---= GANDCRAB =---

Attention!

All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB

The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.

The server with your key is in a closed network TOR. You can get there by the following ways:

1. Download Tor browser - https://www.torproject.org/

2. Install Tor browser

3. Open Tor Browser

4. Open link in tor browser: http://gdcbmuveqjsli57x.onion/[id]

5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

If you can't download TOR and use it, or in your country TOR blocked, read it:

1. Visit https://tox.chat/download.html

2. Download and install qTOX on your PC.

3. Open it, click "New Profile" and create profile.

4. Search our contact - 6C5AD4057E594E090E0C987B3089F74335DA75F04B7403E0575663C26134956917D193B195A5

5. In message please write your ID and wait our answer: 6361f798c4ba3647

DANGEROUS!

Do not try to modify files or use your own private key - this will result in the loss of your data forever!

https://www.jpcert.or.jp/at/2018/at180009.html

ここ数日間でMemcachedを悪用したDDoS攻撃が急増している。

個人的にMemcachedについては存在すら知らなかったので、ゼロから調べた際にメモを作成し、ニュースに絡めて紹介する事にした。

その為、この記事はMemcaechedを悪用したDDoS攻撃を理解する為の前提知識から説明していく形になっている。

この記事では以下のように大きく3つのポイントに分けて説明する。

• Memcachedについての説明
• リフレクション攻撃についての説明
• Memcachedを悪用したDDoS攻撃の被害状況

前半部分は基本的知識の説明に終止する為、既に理解している読者は後半部分まで飛ばし読みして構わない。

Memcachedとは

Memcachedとは、Webアプリケーションの高速化・スケーラビリティを配慮して作成されたソフトウェアである。

Danga Interactive社のBrad Fitzpatrick氏が中心になって開発された。

一般的にWebアプリケーションは、RDBMS(リレーショナル・データベース管理システム)にデータを格納し、アプリケーション・サーバーがデータを引き出してブラウザに表示する。

この時、RDBから取り出すデータが大量になったり、RDBへのアクセスが集中すると、RDBMSの負荷が上がってしまう。

その結果、RDBからのレスポンススピードが下がり、Webサイトの表示が遅延する自体に陥る。

Memcachedは、WebアプリケーションのからRDBへ行われる問い合わせ結果を一時的にキャッシュする。

そうすることで、Webアプリケーションからデータベースへのアクセス回数を減らし、Webアプリケーションの高速化、スケーラビリティ向上を図れる。

リフレクション攻撃について

このセクションでは、以下のポイントに分けてリフレクション攻撃について説明していく。

• リフレクション攻撃とは
• リフレクション攻撃の手順（簡略版）
• リフレクション攻撃が発生する条件

リフレクション攻撃とは

（追記: リフレクション攻撃に関する記述に誤った表現があり、修正致しました。

_hiro(@papa_anniekey)さん、ご指摘＆改善案のご提示ありがとうございます。edited by Ichi at 2018/03/02)

送信元から送られたリクエストに対して、反射的に応答をするものをリフレクターと呼ぶ。

リフレクターを利用して行われるリフレクション攻撃は、コネクションレス型プロトコルであるUDPの特性を悪用して行われる。

UDPを用いるプロトコルとしては、DNSをはじめ、Syslog、SNMP、NTP、そして今回話題となっているmemcachedが挙げられる。

UDPがリフレクタ攻撃の要となっている理由は『攻撃元の隠ぺいが容易』である事だ。

攻撃元の隠ぺい技術は、IP Spoofingと呼ばれる。

HTTPで用いられるTCPのようなコネクション型プロトコルは、3Way-Handshakeで知られるように、実際のデータ・ペイロードのやり取りを行う前に、必ず通信を行う為の〝前準備＝3回の通信”が必要となる。

しかし、UDPの場合のようなコネクションレス型プロトコルの場合、この"前準備"は必要ではない。

一方的に通信を送り付けると受信した側はIPヘッダに書かれている送信元IPアドレスを送信元と判断してそこに対してリクエストの内容に応じたResponseを一方的に返す。

これを悪用すると、IPヘッダを偽装（IPヘッダにターゲットを記載）することで任意のターゲットに対し、応答パケットを「送り付ける」事が可能となるのである。

リフレクション攻撃の手順

リフレクション攻撃を行う為の、簡単な手順は以下のようになる。

• 攻撃者は、送信元IPアドレスを、DDoS攻撃の対象となるIPアドレスにSpoofしたリクエストパケットを作成する。
• そのリクエストをMemcachedサーバーの11211番ポートに向けて送信する。
• Memcachedサーバーは、攻撃者から送信されてきたリクエストに応じて応答を返す。応答は、攻撃者により設定された任意の送信元IPアドレス（＝攻撃のターゲット）に”返送”される。
• このリクエストを送信する際、攻撃者はリフレクターから返送される応答の結果が、できるだけ大きくなるようなリクエスト（コマンド）も含めて送信する。
• その結果、応答のサイズが攻撃者のリクエストと比較して大きくなり（＝増幅され）、攻撃としてインパクトが生まれる。

リフレクション攻撃の参考例

以下のshodanから取得した画像は、リフレクターにパケットを送信した後に、増幅されて返送されてきた応答の例である。

画像内の一行目の”stats”が、リフレクターに対して送信したリクエストで、二行目以降がリフレクターから返送されてきた応答である。

TCPを使用しているので今回の攻撃で使われている手法とは異なるが、リフレクターがこのような返答をするというイメージを掴むには良いだろう。

(画像は任意のIPアドレスを入力して出力した結果)　 

リフレクション攻撃が成立する条件とは

リフレクション攻撃が成立するための条件は、主に3つある。

• 送信元IPアドレスの詐称(IP Spoofing)によって攻撃可能なこと
  • 攻撃者がIPアドレスを詐称した問い合わせがリフレクターに到達可能でなければいけない。送信元IPアドレスは自己申告制である。つまり”なりすまし”が可能なのだ。攻撃者はこれを利用して、ターゲットとなるノードのIPアドレスを送信元として指定したパケットを、リフレクターに送信する。そうすることでリフレクターからの増幅された応答を届けられる。
• リフレクターが数多く存在する
  • Webサーバーがリフレクターとなり得る。すなわち、攻撃対象となるリフレクターの数が多ければ多いほど、リフレクターを用いた攻撃がしやすくなる。
• リフレクターの増幅率が高い事
  • 攻撃者が第一弾としてリフレクターに対して送信するパケットのサイズを、リフレクターがサイズを増幅してパケットを返す事になる。この時、”問い合わせ”に対する”応答”のサイズ比が大きければ大きいほど、リフレクター攻撃の効率が上がる。

Memcachedを悪用したDDoS攻撃の概要

さて、本題であるMemcachedを悪用したDDoS攻撃の概要と被害状況に関して説明していく。

DDoS攻撃について

DDoS攻撃は、MemcachedサーバーでデフォルトでONになっているUDPポート11211番を送信元として世界各地に存在するサーバーに対して行われている。

つまりMemcachedのリフレクター機能を踏み台としてDDoS攻撃を行っている状況である。

ArborNetworksの調査では、今回のMemcachedを踏み台として行われているDDoS攻撃は、最初にスキルの高い攻撃者によって手動で行われ、徐々にメソッドがDDoS-for-hireボットネットを通して非常に短期間で拡散していったと見られている。

Memcachedを起因とするDDoS攻撃の規模

Qihoo 360が公開しているDDoS Monのデータを以下に示す。

2月下旬までは比較的フラットな推移をしていたのだが、ここ数日間でMemcachedを悪用したリフレクション攻撃が急増。

(Memcachedが悪用されて発生しているリフレクション攻撃の日別推移。DDoSMonより引用。)

Memcachedから送信されてくるパケット毎秒数(pps)は、最高値でおよそ23Mppsである。1秒毎のパケットサイズで言えば、そこまで大した大きさではないよう見える。

(パケットサイズ毎秒の日別推移。Cloudflareより引用。)

しかしmemcachedから送信されてくるインバウンド・トラフィックの帯域幅は、260gbpsに到達している。

(帯域幅の日別推移。Cloudflareより引用。)

なお、Cloudflareが公開しているtcpdumpの結果は以下。検知されているパケットが使用する帯域幅は、およそ1400となっている。

単純計算で、23(Mpps)　× 1400(bytes) ≒ 257（Gbps）となる。 

(Cloudflareが行なった調査過程で実行されたtcpdump結果。Cloudflareより引用。) 

ソースIP

脆弱なMemecachedサーバーは世界各国に点在している。

(ソースIPはアメリカ、ヨーロッパ、アジアと広範囲に渡る。Cloudflareより引用。)

また、Cloudflareの公開しているAS(Autonomous System)別に分けられたIPアドレスでは、フランスのクラウドサービスであるOVH、アメリカのDigitalOceanに次いで、日本のさくらインターネットが上位に入っている。

 (殆どのクラウドサーバーがリストに入っている。Cloudflareより引用。)

踏み台にされない為の対策

Memcachedを利用しているかに関わらず、サーバーを管理している人は、自身のサーバーがDDoS攻撃の踏み台にされない為にアクセス制御を行う必要がある。

さくらインターネットがMemcachedのアクセス制御を行うよう注意喚起を行ない、その中に3つの方法が示されていたので紹介する。

1. Memcachedにアクセス可能なIPアドレスをlocalhostに限定する。UDPを無効にする。
2. Memcachedを使用していない場合はサービス停止、自動起動を無効化。不要の場合は削除。
3. ファイアウォールを設定し、Memcachedが使用するポートへのアクセス制限。

上記した方法①に関しては、さくらインターネットの注意喚起ではCentOS７における手順が公開されているので参照してもらいたい。

追記：DDoS攻撃の史上最大規模を記録。リクエストが5万倍に増幅

2018年2月28日の17時21分〜17時26分の間、GitHub.comがダウンした。

Githubは自社のブログにてダウンした原因がMemcachedからのDDoS攻撃である事を公表した。

同社のブログによると、毎秒1億2690万パケット送信され、帯域幅は1.35Tbpsにも達したという。

同日の17時半ごろに1.35Tbpsに達する攻撃が発生し、18時過ぎに400Gbps程度の攻撃が再度発生している。

(DDoS攻撃の規模を示す画像。GitHubから引用。)

追記：Memcachedに対して打つコマンド

Memcachedに対してリクエストを投げる際は、以下のようなコマンドを実行する。

Test for the Memcached amplification vulnerability on your servers:
$ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u <target> 11211

— x0rz (@x0rz) March 2, 2018

追記：Memcachedを利用したDDoS攻撃はQihoo 360が2016年に指摘

ここ数日間で注目されているMemcachedを悪用したDDoS攻撃だが、実はこの手法は0Kee TeamのQihoo 360に所属する研究者によって指摘されていたようだ。

0KeeTeamが公開しているスライドはここから閲覧可能である。

恐らく今回DDoS攻撃を引き起こしている攻撃者はこのノウハウを知り、攻撃者間で共有したと思われる。

スライドの題名にもあるが、”２TB/s規模のDDoS攻撃の発生方法を示す手法”として指摘されているので、今後もDDoS攻撃の規模が拡大していくだろう。

追記：MemcachedのPoCが公開

本日（2018/03/07）、MemcachedをエクスプロイトしてDoS攻撃を行う為のPoCが公開された。

以下のリンクからGitHubにアクセス出来る。PoCはC言語で書かれている。

github.com

(追記日時: 2018/03/07PM)

追記：CVEデータベースに登録

Memcachedの脆弱性は、NVDにも登録されている。

・NVD - CVE-2018-1000115

(追記日時: 2018/03/08AM)

Memecached関連のリンク集

以下に、執筆時点(2018/03/01)でネット上で閲覧できるJPCERTの注意喚起、その他セキュリティ企業、ISPからの注意喚起へのリンクを掲載しておく。