Spacewalkにおけるクロスサイトフォージェリ(CSRF)の脆弱性

Size: px

Start display at page:

Download "Spacewalkにおけるクロスサイトフォージェリ(CSRF)の脆弱性"

うのすけつなかわ
5 years ago
Views:

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :18:17 +09'00' Javaアプリケーション脆弱性事例調査資料についてこの資料は Javaプログラマである皆様に脆弱性を身近な問題として感じてもらいセキュアコーディングの重要性を認識していただくことを目指して作成しています Javaセキュアコーディングスタンダード CERT/Oracle版と合わせてセキュアコーディングに関する理解を深めるためにご利用ください JPCERTコーディネーションセンターセキュアコーディングプロジェクト secure-coding@jpcert.or.jp 1

2 Spacewalk におけるクロスサイトリクエストフォージェリ (CSRF) の脆弱性 CVE JVNDB

3 Spacewalk とは Spacewalk は Web ベースの Linux システムの統合管理ツール Red Hat 社がリリースしている Red Hat Network Satellite のオープンソース版 3

4 Spacewalkとは統合管理ツールとして以下が実施可能ハードウエアソフトウエアのインベントリ管理ソフトウェアのインストールやアップデート設定ファイルの管理と展開システムのモニタリング 4

5 脆弱性の概要 Spacewalk にはクロスサイトリクエストフォージェリの脆弱性が存在する脆弱性を悪用されることで被害者が意図しない操作を実行させられる可能性がある Spacewalk ではシステムの管理機能を提供しているため被害者が意図しない設定変更等が行われてしまう 5

6 クロスサイトリクエストフォージェリとは攻撃者の罠サイトにアクセスさせログインしている Web サービスの機能を意図せず実行させる攻撃 2 ユーザを攻撃者の web サイトに誘導 3 攻撃者の web サイトにアクセス 4 攻撃コードを含むレスポンス 5 セッション ID + 処理実行のリクエスト 6 処理確定のレスポンス 1 ログイン解像度 UP 攻撃対象の Web アプリケーション 6

7 脆弱性が悪用された場合のリスクユーザの意図しない機能の実行 Web サイトが提供している機能によりリスクは異なる例えば掲示板に投稿する機能があった場合攻撃者によって意図しない投稿をさせられるかも商品を購入する機能があった場合攻撃者によって意図しない商品購入をさせられるかも意図しない機能の実行犯行予告!! xxxxxxxx 被害者掲示板書き込み決済の実行 7

8 Spacewalk の処理フローアカウント停止機能を実行する場合の処理フローを解説する画面遷移にしたがってユーザが操作を行い処理が行われるアカウント停止機能を実行する際のSpacewalkの処理フロー 1 ユーザがSpacewalkにログインする 2 ユーザがアカウント停止機能を実行しリクエストが送信される 3 Spacewalkがリクエストを受信し処理を実行する 4 結果を含むレスポンスがユーザへ送信される 8

9 1 ユーザが Spacewalk にログインするユーザがログインしセッションを取得する (Cookie を発行する ) ログイン画面セッションに紐付いた Cookie を作成 / 発行ログインセッションオブジェクト Cookie セッション (Cookie) 発行 9

10 2 ユーザがアカウント停止機能を実行しリクエストが送信される管理画面にログインしアカウント停止画面にアクセスするアカウント停止画面このボタンをクリックすることで機能が実行されアカウントが停止 ( 無効 ) となる 10

3Spacewalk がリクエストを受信し処理を実行する Spacewalk はリクエストを受信してアカウント停止機能を実行するアカウントの停止 HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: www.

11 3Spacewalk がリクエストを受信し処理を実行する Spacewalk はリクエストを受信してアカウント停止機能を実行するアカウントの停止 HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98; pxt-session-cookie=29x6ad3ed33446e2669c5e60a4b a submitted=true 11

12 4 結果を含むレスポンスがユーザへ送信されるアカウント停止処理が終了し結果をレスポンスとしてユーザへ送信するアカウントが無効となりログイン画面に戻る Success!! 12

13 機能実行時詳細アカウント停止機能実行時の処理フローにおける 2 の処理を詳しく見てみようアカウント停止機能を実行する際の Spacewalk の処理フロー 1 ユーザが Spacewalk にログインする 2 ユーザがアカウント停止機能を実行しリクエストが送信される 3 Spacewalk がリクエストを受信し処理を実行する 4 結果を含むレスポンスがユーザへ送信される POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98; pxt-session-cookie=29x6ad3ed33446e2669c5e60a4b a submitted=true HTTP リクエスト 13

14 機能実行時詳細 2 ユーザがアカウント停止機能を実行しリクエストが送信されるアカウント停止画面の Form 要素 (HTML) と機能実行時の HTTP リクエスト HTML ソース ( 抜粋 ) You will be logged out immediately after pressing the Deactivate Account button below, and <b>will be unable to log back in</b>. </p> </div> <hr /> <form method="post" name="rhn_list" action="/rhn/account/accountdeactivationconfirm.do"> <div align="right"> <input type="submit" value="deactivate Account" /> </div> <input type="hidden" name="submitted" value="true" /> </form> Deactivate ボタンを押したときに送信される HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 送信されるデータにForm 要素固有 : の値は含まれておらず毎回同じ Host: データとなっている Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98; pxt-sessioncookie=29x6ad3ed33446e2669c5e60a4b a submitted=true Deactivate Account のクリックで送信される Form 要素 14

15 問題点 Spacewalk がユーザからのリクエストを処理する際に正しい画面遷移でリクエストが送信されてきたかを検証していなかった参考 CWE(Common Weakness Enumeration) CWE-352 クロスサイトリクエストフォージェリ 15

16 攻撃実行時の処理フロー通常の処理フローアカウント停止機能を実行する際の処理フロー 1 ユーザが Spacewalk にログインする 2 ユーザがアカウント停止機能を実行しリクエストが送信される 3 Spacewalk がリクエストを受信し処理を実行する 4 結果を含むレスポンスがユーザへ送信される攻撃実行時は 2 の前にユーザが攻撃者サイトへ誘導され以下のようなフローとなる攻撃実行時の処理フローアカウント停止機能を実行する際の Spacewalk の処理フロー 1 ユーザが Spacewalk にログインする 2-1 ユーザが何らかの方法で攻撃者のサイトに誘導され攻撃コードを実行するコンテンツにアクセスする 2-2 アカウント停止機能を実行するためのリクエストがユーザのブラウザから Spacewalk に対して送信される 3 Spacewalk がリクエストを受信し処理を実行する 4 結果を含むレスポンスがユーザへ送信される 16

17 誘導先の攻撃者サイト上のコンテンツ ( 攻撃コード ) 攻撃者は以下のようなコンテンツを用意し Spacewalk にログイン中のユーザを誘導する攻撃コードの HTTP リクエストを送信するためのコンテンツ (HTML) <html> <body onload="document.atkform.submit()"> コンテンツにアクセスすると以下の Form 要素が自動送信される <form method="post" name="atkform action=" <input type="hidden" name="submitted" value="true" /> </form> </body> </html> アカウント停止機能を実行する Form 要素 HTML 17

18 攻撃コードから送信されるリクエストコンテンツにアクセスすると送信される HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98; pxt-session-cookie=29x6ad3ed33446e2669c5e60a4b a 1 submitted=true 攻撃コードのポイントユーザは Spacewalk にログイン中であるため Cookie ヘッダの値は Spacewalk から発行された Cookie が自動的に送信される (1 部分 ) このリクエストを受信した Spacewalk はログイン中のユーザーからのリクエストとして処理する通常の処理で送信されるリクエストと全く内容が一緒であり Spacewalk にはリクエストが正常なものか ( サイト内の正常な遷移で送信されたものかどうか ) 区別できない 18

通常時 / 攻撃実行時のフロー比較通常の処理フロー HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: www.example.

19 通常時 / 攻撃実行時のフロー比較通常の処理フロー HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98; pxt-session-cookie=29x6ad3ed33446e2669c5e60a4b a submitted=true 機能の実行アカウントの停止攻撃者のサイトへ誘導された際の処理フロー実行!! 誘導攻撃コード HTML HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98; pxt-session-cookie=29x6ad3ed33446e2669c5e60a4b a アプリケーションにとっては全く同じリクエストであり区別がつかない!! submitted=true 攻撃者のサイト 19

20 対策機能実行の際は正しい画面遷移からの実行であることを確認するべき一般的な CSRF 対策 : トークンを生成しセッションに格納する同時にリクエストの Form 要素にもトークンを含める機能実行時にセッションとリクエストのトークンが一致することを検証する攻撃者がその値を予測したり総当たりで探索したりする可能性をふまえトークンの値は乱数を使って生成し十分な長さを持った値にする必要がある 20

21 修正版コード脆弱性はバージョンにて修正が適用されているアカウント停止機能を実行する際のSpacewalkの処理フロー 1 ユーザがSpacewalkにログインする 2 ユーザがアカウント停止画面にアクセス時に Spacewalk はトークンを発行しForm 要素に埋め込むさらにセッション変数にトークンを格納する 2 ユーザがアカウント停止機能を実行しリクエストが送信される 2 前処理後処理 Spacewalk は送信されてきたトークンとセッション変数に格納されているトークンが同一であることを確認する ` 3 Spacewalkがリクエストを受信し処理を実行する 4 結果を含むレスポンスがユーザへ送信される 2 前処理と 2 後処理が追加されている 21

修正版コード 2 Form 要素へのトークン発行とセッション変数への格納ユーザがアカウント停止画面にアクセスした際にトークンを生成しアクセスしたユーザのセッションに格納するユーザアカウント停止画面 (disableselfconfirm.jsp).jsp サーバ (Spacewalk) トークン 1 トークンを生成セッションオブジェクトトークン HTTP レスポンス HTTP/1.

22 修正版コード 2 Form 要素へのトークン発行とセッション変数への格納ユーザがアカウント停止画面にアクセスした際にトークンを生成しアクセスしたユーザのセッションに格納するユーザアカウント停止画面 (disableselfconfirm.jsp).jsp サーバ (Spacewalk) トークン 1 トークンを生成セッションオブジェクトトークン HTTP レスポンス HTTP/ OK : <form method="post" name="rhn_list" action="/rhn/account/accountdeactivationconfirm.do"> <input type="hidden" name="csrf_token value=" " /> <div align="right"> <input type="submit" value="deactivate Account" /> </div> <input type="hidden" name="submitted" value="true" /> </form> トークン 2 トークンをセッション変数に格納 3 さらにトークンを HTTP レスポンスの Form 要素内の hidden 属性に格納 22

23 修正前 / 修正後のソース比較 2 Form 要素へのトークン発行とセッション変数への格納 disableselfconfirm.jsp ( 修正前 ) <form method="post" name="rhn_list" action="/rhn/account/accountdeactivationsubmit.do"> <div align="right"> <html:submit> <bean:message key="disableself.jsp.deactivate"/> </html:submit> </div> </form> disableselfconfirm.jsp ( 修正後 ) <form method="post" name="rhn_list" action="/rhn/account/accountdeactivationsubmit.do"> <rhn:csrf /> <div align="right"> カスタムタグ rhn:csrf が追加されている <html:submit> <bean:message key="disableself.jsp.deactivate"/> </html:submit> </div> </form> 23

24 修正版コード 2 Form 要素へのトークン発行とセッション変数への格納 disableselfconfirm.jsp <rhn:csrf /> カスタムタグにより CsrfTag クラスの dostarttag メソッドが呼び出される (JSP の機能 ) CsrfTag.java public class CsrfTag extends HiddenTag { : public int dostarttag() throws JspException { HttpServletRequest request = (HttpServletRequest) pagecontext.getrequest(); HttpSession session = request.getsession(true); this.setproperty("csrf_token"); this.setvalue(csrftokenvalidator.gettoken(session)); セッションを取得 } super.dostarttag(); return SKIP_BODY; トークンを生成しセッションに格納する 24

25 修正版コード 2 Form 要素へのトークン発行とセッション変数への格納参考 CSRFTokenValidator クラスの gettoken メソッド public final class CSRFTokenValidator { : public static String gettoken(httpsession session) { String tokenvalue = (String) session.getattribute(token_key); if (tokenvalue == null) { // Create new token if necessary tokenvalue = createnewtoken(default_algorithm); session.setattribute(token_key, tokenvalue); } return tokenvalue; } セッションへの格納トークンの生成 25

26 修正版コード 2 Form 要素へのトークン発行とセッション変数への格納 disableselfconfirm.jsp <rhn:csrf /> CsrfTag クラスは HiddenTag クラスを継承しており setproperty メソッドや setvalue メソッドで指定された値は Form 要素内の hidden 属性で出力される CsrfTag.java public class CsrfTag extends HiddenTag { : public int dostarttag() throws JspException { HttpServletRequest request = (HttpServletRequest) pagecontext.getrequest(); HttpSession session = request.getsession(true); this.setproperty("csrf_token"); this.setvalue(csrftokenvalidator.gettoken(session)); } super.dostarttag(); return SKIP_BODY; プロパティをセットすることで HTML の Form 要素内に以下のような形で出力される <input type= hidden name= csrf_token value= <gettoken() で作成されたトークン >" /> 26

27 修正版コード 3 ユーザがアカウント停止機能を実行しリクエストが送信されるユーザアプリケーション側ではセッションに関連付けされたトークンを保持している JSESSIONID= 81099D8047CF94FEA3FB447C3C24AF98 セッションオブジェクト csrf_token 送信される HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98 csrf_token = &submitted=true Form 要素内の hidden 属性に出力されたトークンの値が送信される 27

28 修正版コード 4 アプリケーションによるトークンの検証 Spacewalk は送信されてきたリクエスト内のトークンとセッション内のトークンが同じものであるかを検証する JSESSIONID= 81099D8047CF94FEA3FB447C3C24AF98 セッションオブジェクト csrf_token トークン検証!! トークン送信される HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98 csrf_token = &submitted=true 28

29 修正版コード 4 アプリケーションによるトークンの検証リクエスト受信時に CSRFTokenValidator クラスの validate メソッドが呼び出されトークンの検証を行う ( 本クラスは修正版コードに追加されたもの ) CSRFTokenValidator.java public final class CSRFTokenValidator { : public static void validate(httpservletrequest request) throws CSRFTokenException { HttpSession session = request.getsession(); セッション変数とリクエストにトークンが含まれているかを検証 if (session.getattribute(token_key) == null) { throw new CSRFTokenException("Session does not contain a CSRF security token"); } if (request.getparameter(token_key) == null) { throw new CSRFTokenException("Request does not contain a CSRF security token"); } } if (!session.getattribute(token_key).equals(request.getparameter(token_key))) { throw new CSRFTokenException("Validation of CSRF security token failed"); } 29

30 修正版コード 4 アプリケーションによるトークンの検証リクエスト受信時に CSRFTokenValidator クラスの validate メソッドが呼び出されトークンの検証を行う ( 本クラスは修正版コードに追加されたもの ) CSRFTokenValidator.java public final class CSRFTokenValidator { : public static void validate(httpservletrequest request) throws CSRFTokenException { HttpSession session = request.getsession(); if (session.getattribute(token_key) == null) { throw new CSRFTokenException("Session does not contain a CSRF security token"); } セッション変数とリクエストに含まれるトークンが同一であるかを検証 if (request.getparameter(token_key) == null) { throw new CSRFTokenException("Request does not contain a CSRF security token"); } } if (!session.getattribute(token_key).equals(request.getparameter(token_key))) { throw new CSRFTokenException("Validation of CSRF security token failed"); } 30

31 修正版コード 5 アプリケーションがリクエストを受信し処理を実行するトークンの検証結果に応じて機能実行とエラー処理のどちらかを行う通常の処理フロー ( トークンの検証 OK) HTTP リクエストトークンが含まれているセッションオブジェクトトークン POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98 csrf_token = &submitted=true 検証!! 機能の実行アカウントの停止攻撃コード実行時の処理フロー ( トークンの検証 NG) 実行!! 誘導 HTML ユーザのブラウザから送信される HTTP リクエスト POST /rhn/account/accountdeactivationconfirm.do HTTP/1.1 : Host: Content-Length: 14 Cookie: JSESSIONID=81099D8047CF94FEA3FB447C3C24AF98 ; pxt-sessioncookie=29x6ad3ed33446e2669c5e60a4b a 検証!! セッションオブジェクトトークン攻撃者のサイト submitted=true トークンが含まれていない 31

32 まとめクロスサイトリクエストフォージェリ Spacewalk が用意したフォームからの入力と攻撃者が用意したフォームからの入力を区別していなかった対策 : トークンを使用することで不正なフォームからの入力を検出できるようにするトークン使用時には以下の点を検討しておく必要がある攻撃者に値を予測されることを防ぐ : 乱数を使って生成総当たりで探索されることを防ぐ : 長い文字列長大きな数値などユーザと関連付けるトークンの有効期間を明確にする : 処理を受け付けたら無効にする, リクエストが来なかったら 60 秒で無効にするなど 32

参考文献 OWASP CSRFGuard Project https://www.owasp.

php/category:owasp_csrfguard_project IPA ISEC セキュア

33 参考文献 OWASP CSRFGuard Project IPA ISEC セキュアプログラミング講座 : Webアプリケーション編第 4 章セッション対策 : リクエスト強要 (CSRF) 対策安全なウェブサイトの作り方 IPA 33

34 著作権引用や二次利用について本資料の著作権は JPCERT/CC に帰属します本資料あるいはその一部を引用転載再配布する際は引用元名資料名および URL の明示をお願いします記載例引用元 : 一般社団法人 JPCERT コーディネーションセンター Java アプリケーション脆弱性事例解説資料 Spacewalk における CSRF の脆弱性本資料を引用転載再配布をする際は引用先文書時期内容等の情報を JPCERT コーディネーションセンター広報 (office@jpcert.or.jp) までメールにてお知らせくださいなおこの連絡により取得した個人情報は別途定める JPCERT コーディネーションセンターのプライバシーポリシーに則って取り扱います本資料の利用方法等に関するお問い合わせ JPCERT コーディネーションセンター広報担当 office@jpcert.or.jp 本資料の技術的な内容に関するお問い合わせ JPCERT コーディネーションセンターセキュアコーディング担当 secure-coding@jpcert.or.jp 34

Apache Tomcatにおけるクロスサイトリクエストフォージェリ(CSRF)保護メカニズム回避の脆弱性

Apache Tomcatにおけるクロスサイトリクエストフォージェリ(CSRF)保護メカニズム回避の脆弱性 Japan Computer Emergency Response Team Coordination Center 電子署名者 Japan Computer Emergency Response Team Coordination Center DN c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer