Trusted Design

T1190 - Exploit Public-Facing Application

概要

Adversaries may attempt to exploit a weakness in an Internet-facing host or system to initially access a network. The weakness in the system can be a software bug, a temporary glitch, or a misconfiguration.

Exploited applications are often websites/web servers, but can also include databases (like SQL), standard services (like SMB or SSH), network device administration and management protocols (like SNMP and Smart Install), and any other system with Internet-accessible open sockets.(Citation: NVD CVE-2016-6662)(Citation: CIS Multiple SMB Vulnerabilities)(Citation: US-CERT TA18-106A Network Infrastructure Devices 2018)(Citation: Cisco Blog Legacy Device Attacks)(Citation: NVD CVE-2014-7169) On ESXi infrastructure, adversaries may exploit exposed OpenSLP services; they may alternatively exploit exposed VMware vCenter servers.(Citation: Recorded Future ESXiArgs Ransomware 2023)(Citation: Ars Technica VMWare Code Execution Vulnerability 2021) Depending on the flaw being exploited, this may also involve Exploitation for Stealth or Exploitation for Client Execution.

If an application is hosted on cloud-based infrastructure and/or is containerized, then exploiting it may lead to compromise of the underlying instance or container. This can allow an adversary a path to access the cloud or container APIs (e.g., via the Cloud Instance Metadata API), exploit container host access via Escape to Host, or take advantage of weak identity and access management policies.

Adversaries may also exploit edge network infrastructure and related appliances, specifically targeting devices that do not support robust host-based defenses.(Citation: Mandiant Fortinet Zero Day)(Citation: Wired Russia Cyberwar)

For websites and databases, the OWASP top 10 and CWE top 25 highlight the most common web-based vulnerabilities.(Citation: OWASP Top 10)(Citation: CWE top 25)

管理者によるコメント

T1190「Exploit Public-Facing Application」（公開アプリケーションの悪用） は、インターネットからアクセス可能なサーバーやソフトウェアの脆弱性を突き、ネットワーク内への足がかりを得る非常に一般的な初期侵入手法です。

1. 概要

この手法で攻撃者は、「認証を介さない、または制限を回避した直接的なシステム侵入」を実現します。

何を実現できるのか

• 初期アクセスの獲得: Webサーバー、データベース、VPNゲートウェイなどの脆弱性を悪用し、内部ネットワークへの侵入を開始する。
• 任意のコード実行 (RCE): サーバー上でコマンドを直接実行し、Webシェルを設置したり、マルウェアをダウンロードしたりする。
• データの窃取: データベースへの不正アクセス（SQLインジェクションなど）を通じて、機密情報を直接抜き出す。

2. 攻撃の流れ

攻撃者は、インターネット上に公開されている「隙」を見つけ出すことから始めます。

1. 偵察とスキャン: Shodan や Nmap などのツールを使用し、ターゲット企業が公開しているIPアドレス、ポート、サービス（Apache, Nginx, Microsoft Exchangeなど）を特定します。
2. 脆弱性特定: 特定したサービスのバージョン情報を元に、既知の脆弱性（CVE）があるか、あるいは設定ミス（デフォルトパスワードなど）がないかを調査します。
3. エクスプロイトの実行: 特定した脆弱性に対する攻撃コード（エクスプロイト）を送信します。
   • 例：細工したHTTPリクエストをWebサーバーに送り、メモリ破壊を引き起こしてバックドアを起動させる。
4. 権限の定着: 侵入に成功すると、Webシェル（ブラウザからコマンド操作できるプログラム）を設置し、以降の継続的なアクセスを確保します。

3. 防御・対策

外部に公開している以上、攻撃を受ける前提での「脆弱性管理」と「多層防御」が必要です。

• 迅速なパッチ適用: OSや公開アプリケーションの脆弱性情報を常に監視し、特に「Critical」や「High」のパッチは優先的に適用します。
• WAF（Web Application Firewall）の導入: SQLインジェクションやクロスサイトスクリプティングなど、アプリケーション層への攻撃をパターンマッチングで遮断します。
• ネットワーク分離（DMZ）: 公開サーバーを内部ネットワークから隔離し、万が一侵入されても被害が内部の重要資産に及ばないようにします。
• 最小権限の原則: Webサーバーを実行するユーザー権限を最小限にし、攻撃者が侵入してもOS全体の操作ができないように制限します。

4. 重要ポイント

• 「水際」での攻防: フィッシング（T1566）と並び、侵入の最初の一歩として最も多く使われる手法の一つです。
• ゼロデイの脅威: パッチが公開されていない「ゼロデイ脆弱性」が悪用された場合、防御側は防ぎきることが困難なため、侵入後の「検知」が重要になります。

5. 関連する主なCWE

• CWE-20: Improper Input Validation (不適切な入力確認): ユーザーからの入力を正しく検証せずに処理してしまう問題。多くの脆弱性の根本原因です。
• CWE-89: SQL Injection: データベースへの問い合わせを操作される不備。
• CWE-119: Buffer Errors: メモリのバッファ領域を溢れさせ、意図しないコードを実行させる不備。

6. 関連する代表的なCVE

T1190に関連するCVEは、世間を騒がせる重大なものが多いのが特徴です。

• CVE-2021-44228 (Log4Shell): Javaのログ出力ライブラリ Log4j の脆弱性。非常に多くの公開アプリケーションがこの影響を受け、広範囲で悪用されました。
• CVE-2021-26855 (ProxyLogon): Microsoft Exchange Serverの脆弱性。世界中の企業サーバーが直接侵入される被害に遭いました。
• CVE-2017-5638 (Apache Struts 2): 米国の信用情報機関 Equifax から大量の個人情報が流出する原因となった脆弱性。

調査のアドバイス

公開アプリケーションの脆弱性を利用した攻撃を受けた場合、Webサーバーのアクセスログ（access.log や error.log）に不自然な文字列や大量のエラーが記録されます。まずはそこを起点に調査を行うのが定石です。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る