サーバークラッキング(4) - ルーターと新規導入サーバー

セキュリティ

第3弾のサンプル・クラッキングは、ルーターと新規導入サーバーです。
ターゲットシステムは、第1弾で設定したあのシステムを使うことにしましょう。
さて、企業のWebサービスは、大量のアクセスを捌くために、Webサーバーを複数台用意して、負荷分散装置を用意して、アクセスを分散させるような設計にするものです。負荷分散クラスターとか言われるもので、サーバーには、1Uサーバーとか、ブレードサーバーとかを使って、F5のBIG-IPのような負荷分散アプライアンス装置を使って構成したりします。
さて、ターゲットシステムも、アクセス数が増えてきたため、負荷分散クラスターを構成して、アクセス数のキャパシティを増やすことにしました(ちなみに、こういうサーバー強化をスケールアウトといったりします)。ベンダーを選定して、新規サーバーの設置を行うことになったのですが・・・。
クラッカーは既にクラッキングによってDMZルーターを手中に収めていました。ルーターなどのネットワーク機器は、サーバーに比べて目が届きにくく、理解できる管理者が少ないので、クラッキングされても見過ごしてしまう可能性があります。今回もそのケースで、ルーターのクラックに気づかず、放置されていました。しかし、WebサーバーやDBサーバーには脆弱性がなかったため、クラッカーはルーターを手中に収めただけで、攻撃を中止していたのでした。
そこに、新規サーバーの導入が行われることになったのです。これは、クラッカーにとっては千載一遇のチャンスです。なぜなら、サーバーの導入中は、セキュリティに非常に脆弱な状態になるからです。OSを導入した直後で、まだセキュリティアップデートもアンチウィルスソフトも導入していない状態で、ネットワークに接続するような無用心なことが起こらないとも限りませんし、そうでなくても、正式にカットオーバーするまでは、導入作業が先行して、セキュリティアップデートなどの対応が遅れがちです。HTTPサーバーなどの新しいアプリケーションを導入するたびに、ネットワークから切り離して、セキュリティパッチまですべてCD-ROMなどを使ってインストールしてから、再びネットワークに接続するようなやり方は、かなり面倒で、時間のかかるやり方ですから。
さらに悪いことに、この時期のサーバーがきちんとログを取っていることはまずありませんし、たとえ取っていても、そのログを解析することはまずありません。だって、延々と作業ログが続くようなログを誰も読もうとは思わないでしょう?
クラッカーは、そのような脆弱な新規導入サーバーに対して、導入作業が中断している夜間に、既に手中に収めているルーターから堂々と攻撃を仕掛け、バックドアを仕込むことに成功しました。
さて、サーバーの導入作業も順調に終わり、Webアプリケーションの配置も終了して、めでたくカットオーバーとなりました。新しいサーバーにも、既存のサーバーと同じセキュリティポリシーで臨み、考えられるすべてのセキュリティホールはふさいでいました。しかし、クラッカーが仕込んだバックドアは非常にマイナーなものを使ったため、アンチウィルスソフトに引っかかることなく、発見されなかったのです。
クラッカーは、サーバーが安定稼動に入った頃を見計らって、攻撃を開始しました。そして、新規サーバーにバックドアを使って進入に成功したのです。おしまい。


ルーターのようなネットワーク機器にもセキュリティホールは存在して、セキュリティアップデートも時折公開されています。しかし、ネットワーク機器まではなかなか手が回らなかったり、ネットワーク機器のメンテナンス時の影響範囲の大きさから、アップデートの適用を躊躇したりすることが多いのではないかと思います。また、ネットワーク機器のログを読んで進入に気づくことができるような管理者も少ないのではないかと思います。ということは、そこは、セキュリティの盲点になりやすいということでもあります。
それから、今回取り上げたような時間差攻撃も気をつけたい攻撃です。ある瞬間に、セキュリティの防壁をすべて突破できなくても、徐々に進入していくことで最終的にすべての防壁を突破することができることもあるということを念頭において、セキュリティを考えておかないと、万全のセキュリティを行ったにもかかわらず、進入されたということが起こりうるということです。


(追記)
ルーターの管理権限が奪われる脆弱性というのは、たとえばこんなものでしょうか?(かなり昔のものですが)
サーバ以外にもある危険性 = ルータやスイッチから情報を盗まれるインフォシーク社のスイッチにセキュリティホール | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
スイッチ、ルータ脆弱性に注意 カカクコムのスイッチにセキュリティホール | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
SCAN Security Alert 2K2-006 多数のスイッチ、ルータに深刻な脆弱性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]