Cloudflare WARP トラフィックへの信頼:regreSSHion CVE-2024-6387 を悪用するシナリオも

Cloudflare WARP Abused to Hijack Cloud Services, Cado Security Report Reveals

2024/07/22 SecurityOnline — Cloudflare の WARP サービスを悪用して、脆弱なインターネット向けサービスを攻撃する複数のキャンペーンについて、先日に Cado Security の研究者が情報を公開した。WARP は無料の VPN サービスであり、また、ユーザー・トラフィックを最適化するために設計されている。その一方で、この VPN サービスを悪用する攻撃者が、真の出所を隠蔽し、セキュリティ対策を回避している。


WARP は、Cloudflare のグローバル・ネットワーク経由で、ユーザー・トラフィックをトンネリングする。したがって、それを悪用する脅威アクターは、自身の IP アドレスを隠蔽し、あたかも攻撃が Cloudflare から発信されたかのように見せかける。この手口は、脅威アクターの帰属分析を妨げるだけではなく、数多くの組織が Cloudflare の IP レンジに寄せてい、暗黙の信頼を悪用するものとなる。

Cado Security のレポートでは、WARP を悪用する2つの攻撃キャンペーンについて、詳しく説明されている:

SSWW Cryptojacking Campaign:この攻撃は、昇格した権限とホストアクセス権を持つコンテナを、作成するところから始まる。攻撃者はホスト上で、すでに利用可能なイメージを選択できるため、新しいイメージをダウンロードする必要性が回避される。その後に、Docker VND ストリームを作成し、コンテナ内でコマンドを実行する。この SSWW スクリプトは C2 からダウンロードされ、以下のタスクを実行する

  • 競合するマイナーの systemd サービスを停止しようとする。
  • すでにシステムが、SSWW に感染している場合は終了する。
  • SELinux を無効化する。
  • XMRig の最適化のために巨大なページを設定し、drop_caches を有効化する。
  • 組み込みコンフィグ含む XMRig マイナーをダウンロードし、”/var/spool/.system” として保存する。
  • プロセス・ハイダーをダウンロード/コンパイルし、バイナリを “/usr/lib/libsystemd-shared-165.so” として保存し、”/etc/ld.so.preload” に追加して、ユーザー・モード rootkit として動作しようする。
  • “/var/spool/.system” を実行するための SystemD ユニット・ファイルを保存し、有効化する。

Opportunistic SSH Attacks:WARP に由来する SSH ブルートフォース攻撃の急増が確認されている。多くのケースにおいて、Cloudflare の全 IP レンジを誤ってホワイトリストに登録した組織が標的とされている。最近では、この種の攻撃において、OpenSSH の脆弱性 regreSSHion CVE-2024-6387 が悪用され始めている。この脆弱性を悪用する脅威アクターは WARP を使用して、十分に信頼できるファイアウォールを迂回し、組織内の非公開 SSHサーバを攻撃する可能性を持つ。

WARP は攻撃者に匿名性を提供する一方で、その IP は一貫して、Cloudflare のクロアチア・ザグレブ・データセンターから発信されるため、攻撃者のスキャン・サーバがクロアチアにあることが示唆される。攻撃者にとっての主な利点は、Cloudflareトラフィックの匿名性と、それによる疑惑の軽減である。すべての Cloudflare トラフィックを許可するという、ミスコンフィグされたシステムが侵害される可能性があるが、その一方では、すべての感染したホストにアクセスしない限り、安全性の確認は不可能である。

Cado Security は Cloudflare と積極的に連携し、これらの新たな脅威に対処している。Cloudflare の WARP サービスを使用する攻撃者がもたらす主な脅威は、”Cloudflare のトラフィックに寄せる個々の管理者の信頼”と、”すべての Cloudflare IP を許可するという誤ったアドバイス” に起因する。ファイアウォールで “104.28.0.0/16” を許可していないことを確認してほしい。徹底的な防御アプローチを採用し、たとえば、パスワードの代わりに SSH キーを使用するなどの強力な認証を持ち、それが最新であることを確認する。たとえファイアウォールの内側であっても、Docker をインターネットにさらさないようにしてほしい。

Cloudflare WARP ですが、Web で調べてみたら、複合的なソリューションであり、その中に、ユーザー・トラフィックのトンネリングもあるようです。そして、Cloudflare が提供するトラフィックが、常にホワイトとは限らないということなのでしょう。ご利用のチームは、そのあたりことを、ご確認ください。よろしければ、Cloudflare で検索も、ご参照ください。