Linux のシステムファイルである /etc/passwd や /etc/shadow には、機密性の高いユーザー情報や認証データが保存されています。攻撃者がサーバー上の Web の脆弱性を悪用した場合、cat、head、tail などのコマンドによってこれらのファイルが読み取られ、アウトバウンドの応答でデータが漏洩する可能性があります。
Cloud Firewall の侵入防止システム (IPS) ルールは、システムファイルの内容がアウトバウンドトラフィックに含まれていることを検出します。デフォルトでは、これらのルールは [監視] モードで実行されます。サーバーからデータが送信されるのを防ぐには、モードを [ブロック] に切り替えてください。
システム情報漏洩のリスク
システムファイルの内容が漏洩すると、次の 2 種類の攻撃が可能になります:
-
リモートコマンド実行と後続の攻撃:リモートコマンド実行などの Web の脆弱性を悪用する攻撃者は、サーバーから重大なシステムファイルを読み取ることができます。この情報を使用して、リモートログインや侵害されたホストのリモートコントロールなど、さらなる攻撃を仕掛ける可能性があります。
-
ワームやトロイの木馬によるラテラルムーブメント:ホストに感染したワームやトロイの木馬は、システム情報を収集し、それを利用して内部ネットワーク内で水平展開 (ラテラルムーブメント) し、他のサーバーを侵害する可能性があります。
前提条件
開始する前に、次のものが揃っていることを確認してください:
-
有効な Cloud Firewall のサブスクリプション
-
Cloud Firewall コンソールへのアクセス
システム情報漏洩のブロック
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
[基本防御] セクションで、検索フィールドを [ルール名] に切り替え、Key System information leakage を検索します。
-
関連する一部またはすべてのルールのモードを [監視] から [ブロック] に変更します。
[監視] モードでは、Cloud Firewall は一致したトラフィックをログに記録しますが、ブロックはしません。[ブロック] モードでは、Cloud Firewall は一致したトラフィックを破棄し、システム情報が攻撃者に到達するのを防ぎます。
結果の確認
ルールを [ブロック] モードに切り替えた後:
-
[IPS 設定] ページで、更新されたルールのステータスが [ブロック (カスタム)] と表示されていることを確認します。
-
左側のナビゲーションウィンドウで、[検出とレスポンス] > [IPS] を選択します。IPS ページで、システム情報の漏洩に関連する最近のアラートを確認し、IPS ルールが期待どおりにトラフィックを検査していることを確認します。