IoT の追跡により、ビルド インフラストラクチャが標的にされていることが明らかに

当社独自の F5 Labs 脅威研究者による IoT の追跡は継続中です。 同社の最新レポートでは、脆弱な IoT デバイスの積極的な捜索だけでなく、ビルド インフラストラクチャの標的化も明らかになっています。

F5 Labs の脅威研究者は、主に Telnet および SSH アクセスを介した IoT デバイスへの攻撃を追跡する一環として、Jenkins や Vagrant などのビルド インフラストラクチャ システムを乗っ取ろうとする試みをおそらく意図せずに発見しました。 さらに、データベース システム (Oracle、MySQL、PostGres、Hadoop) や監視プロバイダーの Nagios も共通のターゲットになっているようです。

ブルートフォース攻撃中に使用される資格情報は、「攻撃を受けた管理者資格情報トップ 50」に表示され、前述のすべてのシステムが目立つように表示されます。

これらの攻撃は、これらのシステムのインストール時に定期的に作成されるオペレーティング システム ユーザーを介した SSH および telnet (リモート アクセス) に重点を置いていることに留意する必要があります。 大部分は Linux ベースのシステムに導入され、ベスト プラクティスに従って、実行用に無効化されたシステム レベルのユーザーを自動的に作成します。 デフォルトでは、これらのユーザーにはパスワードがありません。 しかし、ベースボックスの作成に関する Vagrant のドキュメントに記載されているように、これらのユーザーにはパスワードとログイン権限が与えられることがよくあります。

注目すべきは、最新の F5 Labs レポートでは、システムにアクセスしようとする攻撃者がまさにこの組み合わせ、つまり「vagrant:vagrant」を使用していることです。 また、攻撃を受けた資格情報のトップ 50 に「deploy/deploy」が含まれているのも興味深い点です。 これは、Jenkins と Vagrant の識別可能なビルド インフラストラクチャ認証情報とともに、このようなシステムのアクセシビリティとそれらが提供するターゲットが豊富な環境に対する認識が高まっていることを示しています。 ビルド システムやデプロイ システムへのアクセスは、これらのシステムの分散型の性質とその目的を考えると、攻撃者に豊富な機会を提供します。 Jenkins ユーザーを構成すると、表面上はソース コードへのアクセスが可能になり、その結果、applicationやシステム内にさまざまな悪意のあるコードを挿入する機会が無数に生まれます。

インフラストラクチャの構築はビジネスにとってますます重要になっています。 つまり、 Jenkins ユーザーの 90% が Jenkins をミッションクリティカルであると考えています。 しかし、これは Jenkins だけではなく、自動化フレームワークやビルド インフラストラクチャ全般に当てはまります。

弊社の最新のapplication配信状況調査によると、一般的に、かなりの割合の組織が自動化を使用して変更を本番環境にプッシュしています。 これは、Vagrant のようなシステムが実稼働環境でアクティブであるが、必ずしも分離されているわけではないことを意味します。

注意が必要であり、ビルド インフラストラクチャと関連システムで使用される資格情報を慎重に検討する必要があります。 これらのシステムの目的を考えると、資格情報に注意し、必要に応じて外部のセキュリティ サービスによるリモート アクセスを制限する (完全に拒否しない) ことが非常に重要です。

自動化によって生産環境がますます利用されるようになると、ビジネス リーダーとセキュリティ専門家は、そのようなシステムの侵害によってもたらされる脅威に注意する必要があります。 当社の脅威研究者が明らかにしたように、攻撃者はビルドおよび自動化システムが提供する豊富なターゲットをすでに認識しており、積極的にアクセスを試みています。

安全に気をつけてお過ごしください。