クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

VAddyにSSRF脆弱性(CWE-918)検査機能を追加

VAddyはクラウド型の脆弱性診断ツールです。

VAddyのエンタープライズプランには9つの検査項目がありますが、これに加えてSSRF(サーバサイドリクエストフォージェリ)の検査を追加しました。

 

▼VAddy Enterpriseプラン検査項目一覧

HTTPヘッダインジェクション検査から下はエンタープライズプランのみの提供です。

 

SSRF脆弱性(CWE-918)とは

アプリケーションのバグによって、外部から直接アクセス出来ない内部サーバやデータにアクセスできてしまう脆弱性です。

外部入力から与えられたURLをそのまま使ってコンテンツを取得するWebアプリケーションがあります。

f:id:vaddy:20210105152648p:plain

外部入力から与えられたURLを使ってコンテンツを取得する例


そのときexample1.jpのアプリケーションにSSRF脆弱性があると、与えられるURLにプライベートIPアドレスイントラネット用のFQDNを指定された場合に、本来アクセスできないデータにアクセスされ情報漏洩につながるケースがあります。

f:id:vaddy:20210105152748p:plain

外部入力で指定された非公開サーバーのコンテンツを表示されるバグ

AWSGCPなどのクラウドインフラを利用している場合、利用中のサーバから内部用IPを通してクラウドメタデータが取得できるようになっています。そこからクレデンシャル(シークレットキー等)が取得され、情報漏洩に繋がった事件も発生しています。

piyolog.hatenadiary.jp

 

SSRF脆弱性検査を追加した背景

弊社が運営するクラウド型WAF Scutum(スキュータム)でもSSRF攻撃は実際に観測しており、クラウドインフラを利用するユーザは増え続けていることから、今後もSSRF攻撃は増えると予想できます。

クラウドインフラの特性を狙ったSSRF攻撃はWebアプリケーションの脆弱性の中では比較的新しく、SQLインジェクションXSSほど知られていません。そのためクラウドインフラの特性を知らずにインフラを乗り換えた時に、今まで問題なかったWebアプリケーションでもSSRFの脆弱性に繋がるかもしれません。


SSRFは今後も増えそうな攻撃でリスクが高く、見過ごされがちなため、検査する意味が十分にあると判断しVAddyの検査項目に追加しました。(VAddyは実際によく発生する攻撃をScutumの観測データから割り出し、リスクが高い脆弱性に絞って検査項目を決めています。検査項目を無闇に増やすと、設定画面が複雑になる、検査時間の大幅な増加などに繋がるため効果的な検査に絞っています。)

 

さいごに

本日より、エンタープライズプランのお客様はSSRF脆弱性検査が利用できるようになっています。特に設定は不要で既存のクロールデータ(シナリオ)を利用して検査を実行してみてください。

今後もScutumを通した実際の攻撃観測データを元にリスクが高い脆弱性はVAddyの検査項目に追加していく方針です。