Attackers are searching for online store backups in public folders. Can they find yours?
2023/02/07 HelpNetSecurity — 数多くのオンライン・ショップの管理者たちは、プライベートなバックアップをパブリック・フォルダに保存している。それは、データベース・パスワード/秘密 API キー/管理者 URL/顧客データなどを、見知らぬ攻撃者に暴露していることに他ならない。Sansec の脅威研究者たちは、「公開された秘密データは、店舗の支配権強奪/販売者の強奪/顧客支払いの傍受などに使用されている」と述べている。
露出しているバックアップを検索する
研究者たちは、さまざまな規模の、さまざまな eコマース・プラットフォームを実行している、2037件のオンライン・ストアを分析し、そのうちの 250 件 (12%) において、誰もがアクセスできるパブリック Web フォルダに、アーカイブ・ファイルが保存されていることを発見した。
Sansec の創設者である Willem de Groot は、「何社かの最大級のホスティング・パートナーと協力したので、我々のサンプルは、グローバルな傾向を代表していると信じている。バックアップ・ファイル (sql/zip/tar) のテストに加えて、実際に Web上で、それらのファイルが利用可能かどうかもテストした。そのために HTTP HEAD リクエストを使用したので、バックアップ・アーカイブをダウンロードすることなく、実際のファイルサイズを断定できた」と Help Net Security に語っている。
残念なことに、サイバー犯罪者も同じことができるし、実際に行っている。
オンライン・ショップに対する自動化された攻撃では、何千ものバックアップ名が、何週間にもわたって試行される。この攻撃では、サイト名と “/db/staging-SITENAME.zip” などの、公開 DNS データに基づく巧妙な並べ替えが行われている。
Sansec は、「これらのプローブは、非常に安価に実行できる。そして、ターゲットとなるストアのパフォーマンスに影響を与えないため、バックアップが見つかるまで、永遠に続けることも可能だ。Sansec では、数十のソース IP から複数の攻撃パターンを発見しており、複数のアクターが、この脆弱性を悪用できることが示唆される」と述べている。
どうすればいいのか?
誤って、あるいは、不注意で、知識不足で、バックアップの一部がパブリック・フォルダに保存されてしまうことがある。
バックアップが公開されてしまった場合には、Web サーバのログファイルから、それらのダウンロードの有無について確認することができる。もし、ダウンロードされている場合には、直ちに未許可の管理者アカウントの有無を確認すべきである。続いて、パスワード (管理者/SSH/FTP/データベース) を変更し、データ窃盗プラグイン/注入されたマルウェア/Web スキミング・スクリプトの有無もチェックする必要がある。
一般的に、重要なアカウントでは多要素認証をオンにして、リモート・データベース管理パネルはインターネットに公開しないようにすべきだ。また、Web サーバの設定により、アーカイブ・ファイルへのアクセスを制限し、頻繁なバックアップをスケジュールし、アドホック・バックアップを可能な限り避けるなどして、将来においてもバックアップが公開されないようにすべきだ。
この1年を振り返ってみると、e コマースへの攻撃が繰り返して発生してきました。その中には、コマース・アプリの脆弱性悪用に起因するおのがありますが、今回の記事で指摘されたいるような、不適切な運用が原因となるケースも多いようです。よろしければ、カテゴリ Retail も、ご参照ください。
2023/01/18:Magento の脆弱性:対策の混乱と積極的な悪用
2022/02/09:マージカートの波が Magento 1 サイトを襲撃
2022/07/25:PrestaShop のゼロデイの悪用:決済データの窃取
IoT OT Security News 
You must be logged in to post a comment.