[CODE BLUE 2017]SSRFの新時代 – 有名プログラミング言語内のURLパーサーを攻撃! オレンジ・サイ – Orange Tsai -[レポート] #codeblue_jp #codeblue_jp_t2

[CODE BLUE 2017]SSRFの新時代 – 有名プログラミング言語内のURLパーサーを攻撃! オレンジ・サイ – Orange Tsai -[レポート] #codeblue_jp #codeblue_jp_t2

#セキュリティ
#CODE BLUE
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2017.11.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2017に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

SSRFの新時代 - 有名プログラミング言語内のURLパーサーを攻撃! - オレンジ・サイ - Orange Tsai -

レポート

  • SSRFはWebアプリケーションに対する攻撃の概念
  • 10年前ぐらいにみつかっている
  • SSRFは今でも大手サイトであってもよく見られる
  • Orange氏はDEVCOREで脆弱性の研究等を行っている
  • HITCONのメンバー

SSRFとは

  • Server Side Request Forgery
  • Firewallを回避してイントラネットに触れることが出来る
  • 大企業にはStruts2等があるがこれらを乗っ取ることができる

SSRFを仕込む

  • PythonのライブラリによってアクセスするURLの解釈が異なる場合がある
  • SMTPはHTTPを嫌っている
  • Gopher is good
  • CR-LF injection on HTTPS
  • Smuggling SMTP over TLS SNI
    • ホスト名をいじることによりドメイン名に不正なコードを注入できる
    • glibcに起因する動作

SSRFを偉大にする

  • URL Parsing Issues
    • パーサとリクエストの間の不一致を狙う
    • バリデーションは大変
    • RFC2396とRFC3986があるがSPECのみ、実装がない
    • Componentsで定義されているauthority/pathについて取り上げる
    • 「:」はセパレータだがhttp://127.0.0.1:11211:80/のようにするとPHP parse_urlは11211をポートと取り上げる
    • curlは@がある場合に手前の文字列を捉えてしまう
    • curlは他の場所でも利用されているので範囲が広い
  • NodeJS Unicode Failure
    • UnicodeのNNを利用する
    • http://example/NN/passwd
    • \xFF\x2E\xFF\x2Eとなり\xFFが消されるので「..」と解釈される
    • passwdにアクセスできてしまう
    • U+FF0D U+FF0Aを利用するとCR-LF injection出来てしまう
  • glibc NSS Features
    • RFC1035のgethostbyname()
      • バックスラッシュを利用する
    • Linux getaddrinfo()
      • CR-LFをドメイン名手前に挿入すると、それより前のみ評価される
      • http://127.0.0.1\r\nfooは127.0.0.1にアクセスする
    • Exploit Glibc NSS features on Protocol Sumgling
    • HTTP 1.1はホスト名headerが必要
    • ホスト名にhttp://127.0.0.1\r\n SLAVEOF orange.tw\r\n :6379のような感じでヘッダにインジェクションできる
    • CVE-2016-5699
      • HTTPConnection.putheadder
      • Redisとmemchachdにより攻撃が成立する
  • IDNA
    • IDNA2003、2008がある
    • 2003は丸文字がASCIIとして解釈されていた
    • IDNAのどれを利用しているかも重要

Case Study

  • MyBB
    • gethostbyname()でDNS結果を127.0.0.1でキャッシュさせる
    • http://β.orange.twとかやる
    • curl等に対するスペースインジェクションとかで127.0.0.1を引かせることができる
  • GitHub Enterprise
    • 記事
    • 4つの攻撃を組み合わせてremote code executionできる
    • $12,500の報酬がでた

どのようにSSRFを予防するか

  • IPかホスト名ど甍のみを利用する
  • Firewall

 

感想

攻撃手法のとっかかりとしてSSRFが有効であることがよくわかりました。

URLの処理については定義されていないことが多く難しい問題であると思いますが、気をつけたいですね。

Share this article

facebook logohatena logotwitter logo

関連記事

Security-JAWS 第35回レポート #secjaws #secjaws35 #jawsug

Security-JAWS 第35回レポート #secjaws #secjaws35 #jawsug

User avatar
臼田佳祐
2024.11.18
[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

User avatar
吉本明人
2024.11.15
[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

User avatar
吉本明人
2024.11.15
[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

User avatar
臼田佳祐
2024.11.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.