WAFを導入しました(その2)

罰金担当の高橋です。弊社では先月WAFを導入しました。WAFを導入した時のことは以下の記事にまとめました。

tech.sanwasystem.com

WAFを導入して1ヶ月たったので、その間に起きたことを紹介します。

WAFのバージョンアップ

導入して数日後にWAFのバージョンアップがありました。バージョンアップの内容は、TLS脆弱性「Logjam」への対応でした。

脆弱性を狙った攻撃の検知

脆弱性を狙った攻撃も発生しました。攻撃があったことの通知はないので、定期的に管理画面にログインし、攻撃のログを確認します。管理画面では、攻撃のログとして以下の項目を確認することができます。 f:id:takahashih1234:20150716132600p:plain

実際に発生した攻撃は下記のとおりです。

  1. バージョン管理を狙った攻撃 バージョン管理システムのGitの設定情報のファイルに対するアクセスでした。設定情報にアクセスをし、リポジトリの情報を抜き出す攻撃のようです。

  2. 不正なエンコーディングによる攻撃 URLの一部に中途半端なエンコードが紛れ込んだものと判断されたようです。中途半端なエンコードの文字列が含まれているとXSSを発生させることができるらしいです。

  3. Bash脆弱性を狙った攻撃(CVE-2014-6271 / CVE-2014-7169) Bash脆弱性を狙った攻撃で、通称ShellShockです。HTTPのリクエストに特定の値が送信されると、任意のBashのコードを実行することができるという攻撃です。今回の攻撃では、サーバーの特定のディレクトリに、外部のFTPサーバーからファイルをダウンロードし、ファイルを作成するという攻撃が行われていました。

まとめ

導入して1ヶ月ですが、アクセスがそこまで多くないサイトでも攻撃を受けていることがわかりました。WAFを導入したことで攻撃に対する知識(どのような文字列を送ってきて攻撃しているか)がなくても、どのような攻撃が行われているのかを簡単に検知できるようになりました。