S-Owl

S(ecurity)Owl

ハニーポットのログ分析(2019/02/09)

WOWhoneypotの2019/02/09(運用248日目)の簡易分析です。
本日の総アクセス件数は 32件です。送信元IPは29IPです。

本日のドメイン名でのアクセスはありません。

本日のハンティングログはありません。

本日の新しいアクセスは以下です。

GET /api/v1 
GET /api/v1/pods
GET /api/v1/secrets
GET /api/v1/configmaps

全体のアクセス数も少ないので、今日はこれをどうやって特定するか、について書いてみたいと思います。

アクセスパスが似通っているので、恐らくは同種の製品を狙った調査のように思われます。
送信元IPを見てみると、全て同一の1つのIPからのアクセスであったことがわかります。

f:id:Sec-Owl:20190210004534p:plain

では、アクセスパスでGoogleで検索します。アクセスパスを""で囲って探します。同種のものと思われるので、複数入れて調べてみます。

f:id:Sec-Owl:20190210004617p:plain

検索結果から、どうやらKubernetesというソフトウェアのアクセスパスであることがわかります。
何か知らないため、参考にWikipediaから引用します。

f:id:Sec-Owl:20190210005537p:plain

では、この製品が狙われる可能性のある脆弱性を調べます。脆弱性を調べる場合には、アクセスパス+exploitや製品名+exploitなどで調べることが多いです。

f:id:Sec-Owl:20190210005935p:plain

Kubernetes脆弱性というとCVE-2018-1002105が危険なものとして有名のようです。出たのも2018/12/03と比較的最近のようです。
内容は以下のようです。以下のサイトのGoogle翻訳です。

thenewstack.io

この欠陥により攻撃者が計算ノード全体を引き継ぐことが可能になります。

Kubernetes APIサーバーを介してバックエンドサーバーへの接続を確立することを許可されたユーザーは、特別に細工された要求を使用して、同じ接続を介して任意の要求を直接バックエンドに送信できます。 Kubernetes開発者は勧告で述べた。

さらに、既定の構成では、認証されたユーザーと認証されていないユーザーの両方がAPI検出呼び出しを実行でき、この脆弱性を悪用して特権を昇格させる可能性があります。たとえば、攻撃者はノード上のすべてのポッドを一覧表示し、それらのポッドで任意のコマンドを実行し、それらのコマンドの出力を取得する可能性があります。

つまるところ、任意のコード実行(RCE)と考えて良さそうです。このexploitのPoCを確認します。

f:id:Sec-Owl:20190210014630p:plain

exploitの中に今回アクセスがあったパスが使われていると、狙われた脆弱性として確信が持てます。
今回はそのようなパスはありませんでした。そのため、恐らくはこの脆弱性を狙う可能性が高い、と考えるところに留めておきます。

また、今回のケースではBody部に特にデータがないGETリクエストのため、調査行為であり脆弱性を突こうとしているものではないと思われます。
よって、今回観測したものは「Kubernetesの調査」行為として考えることにします。

 

以下が全アクセスログです。

件数 日付 種別 リクエス
25 2019-02-09 アクセス GET /
3 2019-02-09 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 POST /GponForm/diag_Form?style/
1 2019-02-09 Kubernetesの調査 GET /api/v1/secrets
1 2019-02-09 Kubernetesの調査 GET /api/v1/pods
1 2019-02-09 Kubernetesの調査 GET /api/v1/configmaps
1 2019-02-09 Kubernetesの調査 GET /api/v1

以上です。