product filterで攻撃対象領域に漏洩されたアプリケーション検知
IT分野では公式プロダクト名を持つ多様なアプリケーションがあり、Criminal IP ではそのプロダクト名で検索できる機能を提供しています。IPアドレスであるサーバーが起動されているとき、 product filter で検索すると、その IP アドレスで起動されているアプリケーションについて把握できます。
簡単に product フィルター を使って結果を照会できます。プロダクトは nginx、apache、microsoft-iis、lighttpd などのオープンソースも存在しますが、常用ソフトウェアも検索できます。例えば、ファイアウォールや VPN デバイスでよく使われる sonicwall について product フィルター で検索してみました。
product:sonicwall
上の結果ページで分かるように sonicwall のログインサイトも紹介されています。
Microsoft Exchange サーバーを検索する方法
同じ方法で、Microsoft Exchange サーバーも検索できます。今回はメールプロトコルの smtp プロトコルも一緒に検索できるので port:443 のフィルターを追加して検索範囲を絞ることができます。ちなみに、Microsoft Exchange サーバーは2021年3月にゼロデイ脆弱性が発見されて大変な面にあった履歴があります。
product: "microsoft exchange" port:443
Criminal IP IT資産検索で product: "microsoft exchange" port:443を検索した結果
VMWare ESXi サーバーを検索する方法
次は VMWare ESXi を検索してみました。現時点で約46,000の結果が確認され、上の Exchange サーバー例の応用で 443ポートを使用した場合と OVH ホスティングサーバーを使用した場合のみを照会したいときは、下のように検索語を作成できます。ちなみに、CIP チームでは VMWare ESXi の攻撃対象領域の漏洩事件を扱うブログ投稿を書いたことがるので、詳しい内容を知りたい場合は次のリンクをクリックしてください。
product: vmware vcenter server as_name: "ovh sas" port:443
このようにポートごとに product の全リストを知りたい場合、要素分析機能を利用します。下のリンクは 443 ポートを対象にした product のリストです。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja