SSRF攻撃を理解した気持ちになる
例によって(?)リレーブログでございます。前回の方の記事はこちら。
今回のテーマは「SSRF(Server Side Request Forgery)」です。
SSRFとは
SSRF攻撃は、攻撃者から通常到達できないサーバに対して攻撃を仕掛ける手法の一つです。 攻撃者はインターネット上の公開サーバには直接アクセスできますが、内部サーバには直接アクセスできません。ただ、公開サーバから内部サーバにアクセスできるとき、公開サーバを経由することで内部サーバに攻撃を仕掛けられるとがあります。これがSSRF攻撃です。
SSRF(例)
SSRFの被害事例
2019年7月29日、米金融大手のCapital Oneが不正アクセスを受け、1億人以上の個人情報が流出しました。
2019年3月22日、23日にCapital OneのAWS環境へ不正アクセスが発生。犯人が自分のSlackチャンネルへ違法取得したデータベースを投稿。2019年7月17日にCapital Oneへデータリークに関する情報提供があり、2019年7月19日にCapital Oneが流出の事実を確認。2019年7月29日にFBIが不正アクセス事件関与の犯人を逮捕しました。
この事件の原因は、Capital Oneが利用していたWAFに設定ミスが存在していたことです。Capital OneはAWSを利用していましたが、FirewallはAWS WAFではなくApache Modsecurityを採用した独自のものを使っていました。この独自のWAFに設定ミスが存在し、犯人はWAFを経由して、AWS EC2のインスタンスメタデータへの接続に成功したそうです。
まとめ
毎度おなじみの内容薄めでお送りしました。ゴメンナサイ!
次回の方のブログはあちら。ではでは!