こんにちは。サーバーのアクセスログをあさるのが趣味のkusaです。
一般公開されていないページでも、諸外国から壮絶な攻撃を受けることがあります。開発段階から、攻撃の足掛かりを作ってしまわないように気を付けなければいけません。
さて、今回は、某極北国からの攻撃的なアクセスを紹介したいと思います。
Laravelパッケージを狙った攻撃
facade/ignition
Laravelで標準的に使われているfacade/ignitionは、開発環境でエラーの表示を見やすくするためのパッケージです。
エンジニアという職業は、日々エラーとの戦いです。これがあるとないとでは大違いです。
アクセスの詳細
今回ご紹介するアクセスログはこちら!
|
1 |
"GET /_ignition/execute-solution HTTP/1.1" |
なんだこれ?という感じですが、これはCVE2021-3129として登録されている激やばセキュリティホールを狙った攻撃です。
という割とありがちな環境で、DEBUGモードになった状態で公開されている場合、簡単にサーバーが乗っ取られてしまいます。
今回はGETで偵察にきたのだと思われますが、POSTでなにやら送信すると、Logファイルをあぶないファイルに置き換えることができるようです。
Kinsingというマルウェアに感染した例があるようで、仮想通貨のマイニングにリソースを使われてしまいます。サービスにも影響が出てしまうので、気を付けたいですね。
対策
まず、公開されているサーバーでは、エラーページが表示されないようにしてください。
|
1 2 |
//.env APP_DEBUG=false |
そして、Laravel、ignitionのバージョンをあげましょう。ignitionは2.5.2以降で脆弱性が修正されています。
まとめ
攻撃手法は日々進化しています。資産を守るためにも、最新情報を追うことを心掛け適切な対策を施していきたいです。
おそロシア。
Company運用会社
株式会社トランソニックソフトウェア
名古屋市でシステム開発・WEB制作を中心に事業を展開しています。システムに関すること、なんでもお気軽にご相談ください!
Search記事検索
Popular人気記事
