ASUS社製ルーターの複数モデルに、ロシアに関連するマルウェア「Cyclops Blink」に対する脆弱性があり、同社はセキュリティリスクに対する緩和策を含むセキュリティアドバイザリを公開した。
Cyclops Blinkは、ロシアが支援するハッキンググループ「Sandworm」に関連するマルウェアで、過去にSOHOネットワーク機器を標的としていた。
Sandwormは、2015年と2016年のウクライナの停電の背後にあるBlackEnergyマルウェアや、2017年6月から世界中の企業に数十億円相当の被害をもたらしたNotPetyaランサムウェアなど、他の有名なサイバー攻撃にも関連している。
Cyclops Blinkの役割は、ネットワークに攻撃を試みようとする攻撃者のために、永続的にターゲットネットワークへの抜け穴を準備することだ。Cyclops Blinkはモジュール式なので、新しいデバイスをターゲットにしたアップデートが簡単にでき、常に範囲を更新して悪用可能なハードウェアの新しいプールを利用することができるようになっている。
Cyclops BlinkがASUS製ルーターを標的に定める
Trend Microは、情報開示の中で、このマルウェアが複数のASUS製ルーターを標的とした専用モジュールを搭載しており、フラッシュメモリを読み込んで重要なファイル、実行ファイル、データ、ライブラリに関する情報を収集できるようになると警告している。
マルウェアは、工場出荷時のリセットでもこの記憶領域が消去されない仕様を利用し、フラッシュメモリに巣くうコマンドを乗っ取り、永久的な接続性を確立するという。
Cyclops BlinkのASUSモジュールの詳細については、Trend Microが本日、その仕組みについて解説した技術資料を公開している。
現時点では、Cyclops Blinkは無差別かつ広範囲に広がっているので、警戒する必要がある。
脆弱性のあるASUS製ルーター一覧
現時点でCyclops Blinkに対する脆弱性が確認されているASUS製ルーターはとファームウェアバージョンは以下の通りだ。
- GT-AC5300 firmware 3.0.0.4.386.xxxx 以前
- GT-AC2900 firmware 3.0.0.4.386.xxxx 以前
- RT-AC5300 firmware 3.0.0.4.386.xxxx 以前
- RT-AC88U firmware 3.0.0.4.386.xxxx 以前
- RT-AC3100 firmware 3.0.0.4.386.xxxx 以前
- RT-AC86U firmware 3.0.0.4.386.xxxx 以前
- RT-AC68U, AC68R, AC68W, AC68P firmware 3.0.0.4.386.xxxx 以前
- RT-AC66U_B1 firmware 3.0.0.4.386.xxxx 以前
- RT-AC3200 firmware 3.0.0.4.386.xxxx 以前
- RT-AC2900 firmware 3.0.0.4.386.xxxx 以前
- RT-AC1900P, RT-AC1900P firmware 3.0.0.4.386.xxxx 以前
- RT-AC87U(EOL)
- RT-AC66U(EOL)
- RT-AC56U(EOL)
脆弱性に対する対策方法
現時点では、ASUSはCyclops Blinkから保護するための新しいファームウェアアップデートをリリースしていないため、デバイスを保護するために今すぐに出来る次の緩和策を公開している。該当したモデルを使っている場合はすぐにでも対応するべきだろう。
(1)デバイスを工場出荷時のデフォルトにリセットします。WebGUI(http://router.asus.com)にログインし、[管理]→[復元/保存]に移動します。 /アップロード設定、「すべての設定を初期化し、すべてのデータログをクリア」をクリックし、「復元」ボタンをクリックします。
(2)すべてのデバイスを最新のファームウェアに更新します。
(3)デフォルトの管理者パスワードがより安全なものに変更されていることを確認します。
(4)リモート管理を無効にします(デフォルトでは無効になっています。詳細設定でのみ有効にできます)。
なお、前項のリストで掲載した最後の3機種(末尾にEOLと記載)については、サポートがされなくなっているため、ファームウェアアップデートがリリースされないことに注意が必要だ。この場合はデバイスを新しい物に交換することが推奨されている。
脆弱性に対応している機種としては、以下の物がある。参考にして頂きたい。
ポチップ
ポチップ
コメントを残す