Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年02月)

VMware ESXiおよびVMware vCenter Serverの深刻な脆弱性(CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)が報告された。

www.vmware.com

www.jpcert.or.jp

www.security-next.com

www.security-next.com

AWS、Azure、GCPなどのパブリッククラウドが発展するまで、プライベートクラウドを提供するVMware製品はオンプレミスの仮想基盤として普及していた。現在はHCI環境との高い親和性より、依然としてパブリッククラウド環境とのハイブリッド環境を提供する形で利用が続いており、影響範囲も広くなる。

公開されているPoCを確認するとscan時に/ui/vropspluginui/rest/services/uploadovaに対するアクセスを行うとのことで、確認してみた。

2月は0件だった。 f:id:SYN-ACK:20210410131424j:plain

※因みに、3月は3/4に45[.]91[.]94[.]163のIPより4件のアクセスを観測していた。
 3月になり動きが本格化してきたようだ。 f:id:SYN-ACK:20210410131427j:plain

T-Potにて1か月運用した結果を記載する。

今月のChangelog

2021/02/22

・バージョン 20.06.2のリリース
クラウド環境への対応

2021/02/19

・Snare, Tanner, Redis, Phpoxのリビルド
・Elastic Stackを7.11.1へバージョンアップ

2021/02/18

・Conpot, EWSPoster, Cowrie, Glutton, Dionaeaのリビルド

2021/02/16

・Heralding を1.0.7へバージョンアップ
・IPPHoney, Fatt, EWSPoster, Spiderfootのリビルド

2021/02/15

・Dicompot, p0f, Medpot, Honeysap, Heimdall, Elasticpot, Citrixhoneypot, Ciscoasaのリビルド

2021/02/12

・Cyberchef, Adbhoney, Elastic Stackのリビルド

前提条件

運用日時:2020年2月1日-2020年2月28日
運用期間:28日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,142,206 ▲740,172
2 Cowrie 4,554,688 ▲274,945
3 Honeytrap 1,102,509 ▲42,223
4 Heralding 672,056 △470,824
5 Rdpy 109,405 △30,666
6 Mailoney 8,472 △3,484
7 Adbhoney 7,492 △3,867
8 Tanner 3,512 ▲729
9 Ciscoasa 1,674 △589
10 CitrixHoneypot 1,264 △86
11 ElasticPot 858 ▲129
12 ConPot 776 △88
13 Medpot 54 ▲5,189
  • Result
    • Heraldingの件数が2.5倍増加した。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,925,830 1(→)
2 Russia 1,470,350 2(→)
3 Vietnam 755,380 3(→)
4 India 687,702 6(↑)
5 United States 647,516 5(→)
6 China 621,021 4(↓)
7 Netherlands 547,393 圏外(↑)
8 Panama 509,783 7(↓)
9 Brazil 308,766 8(↓)
10 Indonesia 237,603 9(↓)
11 France 221,384 圏外(↑)
12 Venezuela 216,779 10(↓)
13 Turkey 205,321 11(↓)
14 Taiwan 191,904 13(↓)
15 Thailand 189,495 14(↓)
16 Mexico 170,807 19(↑)
17 Bulgaria 144,396 圏外(↑)
18 Pakistan 139,408 16(↓)
19 Romania 128,117 15(↓)
20 Hong Kong 124,315 圏外(↑)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 3,422,697
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 184
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 31
4 CVE-2020-11910 9
5 CVE-2020-11902 6
6 CVE-2020-8515 CVE-2020-8515 1
  • Result
    • 新規にCVE-2020-11910、CVE-2020-11902を検知
      Ripple20の19種の脆弱性群の一つであり、多数検知されたCVE-2020-11899以外にも検知された。

    • CVE-2020-11910(CVSSv3値:5.4)
      6.0.1.66以前のTreck TCP/IPスタックには、IPv6 Out-of-bounds Readの問題がある。

    • CVE-2020-11902(CVSSv3値:5.4)
      6.0.1.66以前のTreck TCP/IPスタックには、IPv6 Over IPv4 tunneling Out-of-bounds Readの問題がある。


④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 318,737
2 admin 110,286
3 support 17,783
4 user 15,726
5 sa 14,084
6 test 11,014
7 guest 10,166
8 Admin 4,159
9 nproc 4,150
10 postgres 1,666
11 101 1,641
12 22 1,437
13 ubuntu 1,325
14 ubnt 846
15 oracle 837
16 git 649
17 ftpuser 623
18 deploy 449
19 mysql 399
20 384
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 200,023
2 root 64,320
3 & 43,219
4 support 17,627
5 123456 12,408
6 user 12,104
7 test 9,912
8 guest 9,210
9 password 7,600
10 1234 6,819
11 123 5,626
12 nproc 4,150
13 Admin 4,088
14 3,885
15 12345 2,742
16 password123 1,748
17 101 1,637
18 ubnt 1,197
19 1 913
20 12345678 744
  • Result
    • 先月から変更なし

最後に

  • Ripple20にてよく観測されるCVE-2020-11899以外に検知され始めた。
  • VMwareESXiの脆弱性は3月以降に攻撃が本格化されそう。
  • 所属会社の業務や家庭の事情でセキュリティ活動が停滞気味。果たして、CISSPは今年中に取得できるのだろうか?