MBSD-SOCではセキュリティ製品の機能検証やサービス企画のために、様々なラボ環境を運用しています。今回はラボ用ブログサイトの管理画面へのアクセス試行の傾向を確認し、どのような対策を取れるか考えました。
https://www.mbsd.jp/research/20221011/loginattempt/
ラボ環境の準備
ラボ環境を準備する際に、不審なリクエストが着弾しやすくなるようにと考え、以下の点を工夫しました。
・辞書にある汎用的な言葉を使ったドメインを取得し、ネイキッドドメインでサイトを公開
・WordPressで構築し、管理画面(wp-login)を公開
・レスポンスからWordPressバージョンやPHPバージョンなどが分かるようにした
・WordPressのREST APIは公開したままにした
・記事投稿者の表示がWordPressのログインユーザ名となるように設定した
また、セキュリティ面の考慮もしています。
・他所に影響させないため、xmlrpcはサーバ側で無効化し、危険なリクエストはWAFでブロック
・思わぬ脆弱性の影響を受けないため、プラグインの使用は必要最低限とした
・サーバからのアウトバウンド通信を必要な通信先に限定
・パスワードを厳しく設定 (長さ・複雑性・ランダム文字列)
・IPアドレス直接指定によるアクセスを不可とする (WAFをバイパスさせない)
