Ameba Ownd

アプリで簡単、無料ホームページ作成

【公式】Criminal IP Japanブログ

攻撃対象領域に漏えいされたリモート管理システム、SSL 証明書で検索する方法(ssl_issuer_organization)

2022.05.24 17:40
Criminal IP以下、CIPと称する)で提供するIT資産検索フィルターの中には ssl_issuer_organization というフィルターがあります。このフィルターを利用すると、https などの SSL プロトコルからどの機関の証明書で署名されているかを確かめられます。たとえば、以下の場合は criminalip.io の SSL 証明書を調べてみたもので、Verified by が Sectigo Limited(元 Comodo CA)と表示してあり、すなわち、Comodo の証明書を利用していることが分かります。

このように Sectigo のような証明書で署名されたものを探したい場合、アセット検索の検索ボックスに下のように検索ワードを入力しましょう。そうすると、Sectigo は有名な認証機関であるため、関連する IP アドレスが何百以上も検索できることが分かります。

ssl_issuer_organization:sectigo
criminalip.ioのSSL証明書、Verified by が Sectigo Limited で表記されている。

Criminal IP IT資産検索に “sectigo” 証明書で署名されたIPアドレスを検索

ssl_issuer_organization フィルターで Red Hat Stellite” を検索する方法

同様な原理で今回は漏えいされたリモート管理システムを検索してみましょう。Red Hat Satellite は、物理、仮想およびクラウド環境の全体にわたってシステムを展開、構成および維持するためのシステム管理ソリューションです。Satellite は、中央集中型の単一ツールを使用して複数の Red Hat Enterprise Linux 展開に対するプロビジョニング、リモート監視および管理を提供するシステムで、非常に簡単で便利なシステムですが、一方では外部からリモート制御されるシステムであるため、攻撃対象領域に漏えいされると最も深刻な問題を引き起こすリモート管理システムでもあります。Red Hat Satellite を検索するには、Katello という証明書の名称を入力できます。

ssl_issuer_organization:Katello
Criminal IP IT資産検索での ssl_issuer_organization:Katello 検索結果


https 443 ポートに反映された SSL 証明書と Issuer Organization Katello が表示されています。ブラウザーを浮かべて該当 IP アドレスでアクセスしてみると次のようなサイトが登場します。


Red Hat Satellite リモート管理システムです。ここに認証代入攻撃を行ってシステム内に侵入し、サーバーに対するリモートコマンドを出せるため、攻撃対象領域管理のポイントとして極めて危険な設定ミスと見なされます。

Red Hat Satellite の管理システムページ


場合によっては Red Hat Satellite だけでなく、以下のように Foreman が登場することもあります。Foreman も物理および仮想システムのプロビジョニングとライフサイクル管理に使用されるオープンソースのアプリケーションであり、Red Hat 系と共に使用されるフロントエンドシステムでもあります。このサイトも Red Hat Satellite と同様に危険な状態で見られます。

Red Hat系と共に使用されるフロントエンドシステムForemanの管理者ページ


ちなみに、以下のイメージは Katello で署名されたスクリーンショットです。

Katello で署名された証明書のスクリーンショット

Katello で署名された証明書のスクリーンショット


このレポートはサイバー脅威インテリジェンス検索エンジン Criminal IP のデータに基づいて作成されました。今すぐ Criminal IP の無料ベータ版サービスのアカウントを作成すると、レポートに引用された検索結果を自ら確認でき、より膨大な脅威インテリジェンスを自由に検索できます。Criminal IP 無料ベータ版サービス案内参考サイト : ExploitWareLabs