Exploit Public-Facing Application
外部公開されたアプリケーションへの攻撃

意図しない、または予期しない動作を引き起こすために、インターネットに面したコンピューターシステムまたはプログラムの弱点を利用するソフトウェア、データ、またはコマンドを利用する攻撃。システムの弱点とは、バグ、欠陥、または設計の脆弱性です。これらのアプリケーションは多くの場合Webサイトですが、データベース(SQLなど)[1]、標準サービス(SMB[2]やSSH)や,webサーバや関連サービスのようにインターネットからアクセス可能なソケットを持つアプリケーションも含めることができます。[3]悪用される欠陥に応じて、これには防御回避への攻撃が含まれる場合があります。

アプリケーションがクラウドベースのインフラでホストされている場合、その悪用が、基盤となるインスタンスの侵害を引き起こす可能性があります。これにより、攻撃者はクラウドAPIにアクセスしたり、脆弱なIDおよびアクセス管理ポリシーを利用したりできます。

Webサイトおよびデータベースのために、OWASPのトップ10およびCWEのトップ25は、最も一般的なWebベースの脆弱性を強調しています。[4][5]

ID: T1190
Tactic: Initial Access
Platform: Linux, Windows, macOS, AWS, GCP, Azure
Data Sources: Azure activity logs, AWS CloudTrail logs, Stackdriver logs, Packet capture, Web logs, Web application firewall logs, Application logs
Contributors: Praetorian
Version: 2
Created: 18 April 2018
Last Modified: 22 October 2019

Procedure Examples

Name Description
Axiom

Axiomは、SQLインジェクションを使用してシステムにアクセスすることが確認されています。[9][10]

Havij

Havij は、SQLインジェクションを自動化するために使用されます。[6]

Night Dragon

Night Dragon は、アクセスを得るためにエクストラネットWebサーバーのSQLインジェクション攻撃を実行しました。[8]

Soft Cell

Soft Cell は、ネットワークにアクセスするために、公開サーバーを攻撃しました。[11]

sqlmap

sqlmapは、SQLインジェクションの脆弱性の悪用を、自動化するために使用できます。[7]

Mitigations

Mitigation Description
Application Isolation and Sandboxing
アプリケーションの分離とサンドボックス化

アプリケーションの分離は、感染したターゲットが、他のプロセスやシステム機能にアクセスすることを制限します。

Exploit Protection
攻撃からの保護

Webアプリケーションファイアウォール(WAF)は、アプリケーションの露出を制限し、悪性のトラフィックがアプリケーションに到達するのを防ぐことができます。

Network Segmentation
ネットワークの分離

DMZを使用して、または別のホスティングインフラで、外部に面したサーバーとサービスと、ネットワークの他の部分とを分離します。

Privileged Account Management
特権アカウントの管理

サービスアカウントの権限を最小にすると、悪用されたプロセスがシステムの残りの部分で取得する権限が制限されます。

Update Software
ソフトウェアの更新

脆弱性がないか、外部に面しているシステムを定期的にスキャンし、スキャンおよび公開により重大な脆弱性が発見された場合、システムに迅速にパッチを適用する手順を確立します。

Vulnerability Scanning
脆弱性のスキャン

脆弱性がないか、外部に面しているシステムを定期的にスキャンし、スキャンおよび公開により重大な脆弱性が発見された場合、システムに迅速にパッチを適用する手順を確立します。

Detection

攻撃の試み、または成功を示す可能性がある異常な動作について、アプリケーションログを監視します。ディープパケットインスペクション(DPI)を使用して、SQLインジェクションなどの一般的な攻撃トラフィックを探します。 Webアプリケーションファイアウォール(WAF)は、攻撃を試みる不適切な入力を検知する場合があります。

References