新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起:ITpro(情報元のブックマーク数)
LACさんが、新手のSQLインジェクション攻撃が出たと注意喚起を出しています。
今までとは違ってIPSやIDS、WAFをすり抜けてしまうそうです!!!!
ラックは10月2日,新手のSQLインジェクション攻撃を仕掛けるボットを確認したとして,Webサイトの管理者などに向けて注意喚起した(ラックの緊急注意喚起レポート)。同社では9月30日にボットを検知した。攻撃対象として確認されているのは,Microsoft Internet Information Server/Services(IIS)上のASP(Active Server Pages)を使ったWebアプリケーション。今までとは異なる手口を使うため,IDS/IPS(侵入検知/防御システム)やWebアプリケーション・ファイアウォール(WAF)といった防御システムをすり抜けてしまう。既に,ページを改ざんされ,悪質サイトへのリンクを埋め込まれたWebサイトも確認済みだという。
新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起 | 日経 xTECH(クロステック)
Cookieに不正なデータを埋め込んでWebサイトに送るそうです。クッキーじゃログには残らないな・・・
今回確認された手口では,攻撃者はクッキー(Cookie)に不正なデータを埋め込んでWebサイトに送信する。従来のSQLインジェクションでは,HTTPのGETメソッドやPOSTメソッドを使って不正なデータを送信する。このため,URI部分に攻撃の内容が含まれ,IDS/IPSでも防御できる。これに対して新手の攻撃で利用するクッキーの内容はURIからでは分からないため,防御をすり抜けられることがある。クッキーの内容はWebサーバーのアクセス・ログに残さないサイトが多く,状況も把握しづらい。
新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起 | 日経 xTECH(クロステック)
結構クリティカルみたい。IISでは表現できない%エンコーディングの場合%を省略してしまうことを悪用しているみたい。
この攻撃では,IISの仕様を悪用して,IDS/IPS/WAFをすり抜ける方法を使う。IISでは%を16進数を表現できない文字の前に置いた場合,%を省略してWebアプリケーションに渡すという。例えば「%20」は16進数として認識されるので「スペース」となるが,「e%xec」は「%xe」が16進数とは認識されず,%を除いた「exec」として渡される。IDSやIPS,WAFでは文字列のパターン・マッチングで不正なSQL文を排除する場合が多いが,「%」を任意の個所に入れられることで,パターン・マッチングが難しくなる。ラックで検査したところ,4製品中,3製品でこの攻撃をパスしてしまったという。
新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起 | 日経 xTECH(クロステック)
このIPにまずは注意。じゃ、どうする!!!もっとBOTになったら!!!!こわいなぁ・・・
暫定的な対策として,攻撃元IPアドレス「61.152.246.157」,「211.144.133.161」(いずれも中国)からの通信を拒否する方法や,データベース側に攻撃コードを排除するトリガーを入れる方法もある。まずは,Webサイトのアクセス・ログに攻撃元のIPアドレスが含まれていないか,データベースに悪質サイトへのリンクが埋め込まれていないかをチェックする方が良い。
新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起 | 日経 xTECH(クロステック)
