Akamaiの研究者たちは、新たな2つのゼロデイ脆弱性を悪用して、ルーターやビデオレコーダーを敵対的なボットネットに取り込む事ができることを発見した。このボットネットは、分散型サービス拒否(DDoS)攻撃に使用されているという。
これらの脆弱性は、製造業者やセキュリティ研究コミュニティには以前は知られておらず、デフォルトの管理者資格情報を使用するデバイスで悪意のあるコードのリモート実行を可能にするものである。未知の攻撃者は、これらのゼロデイを悪用してデバイスを侵害し、「Mirai」という強力なオープンソースソフトウェアに感染させている。Miraiは、ルーター、カメラ、その他のIoTデバイスをボットネットの一部にし、これまでにない規模のDDoS攻撃を行う能力を持っている。
ボットネットとは、敵対的な脅威アクターが制御する侵害されたデバイスのネットワークのことである。ボットネット「Mirai」が一般の注目を集めるようになったのは2016年のことだ。Miraiは、当時記録的とされた620ギガビット/秒のDDoS攻撃でセキュリティニュースサイト「KrebsOnSecurity」をダウンさせた。このボットネットは、膨大な攻撃力に加え、他の特徴も持っていた。特に、従来見られなかったルーターやセキュリティカメラ、その他のIoTデバイスを使役する点が特筆される。また、基盤となるソースコードがすぐに無料で公開されたことも、その特徴の一つである。この結果、MiraiはゲームプラットフォームやそれらをサービスするISPを標的にした、さらに大規模なDDoS攻撃に用いられるようになった。Miraiを含むIoTボットネットは、以降インターネットの一部となっている。
Akamaiの研究者によると、攻撃されている1つのゼロデイは、ネットワークビデオレコーダーの1つ以上のモデルに存在する。もう1つのゼロデイは、日本のメーカーが販売する「ホテルや住宅用途向けのコンセント・ベースの無線LANルーター」に存在する。このルーター機能は「非常に一般的なもの」であり、研究者は複数のルーターモデルで悪用されている可能性を排除できないという。
Akamaiは、これらの脆弱性を両方のメーカーに報告し、そのうちの1つは来月にセキュリティパッチをリリースすると約束している。Akamaiは、修正が完了するまで、特定のデバイスやメーカーを公表しないとしている。
「この情報は限定的なものですが、これらのCVEが現在も悪用されていることをコミュニティに警告する責任があると考えました。防衛を支援するために責任を持って情報を開示することと、脅威行為者の大群による更なる悪用を可能にする可能性のある情報を過剰に共有することの間には、細い線があります」とAkamaiは述べている。
リモートコード実行は、コマンドインジェクションと呼ばれる手法を使用し、攻撃者が脆弱なデバイスに設定された資格情報を使用して自身を認証する必要がある。認証とインジェクションは、標準的なPOSTリクエストを使用して行われる。
Akamaiの研究者Larry Cashdollar氏は、これらのデバイスは通常、管理インターフェースを通じてコード実行を許可しないため、コマンドインジェクションを通じてRCE(リモートコード実行)を取得することが必要であると述べている。攻撃者がまず認証する必要があるため、デバイスがadmin:passwordやadmin:password1のような簡単に推測できるログインを使用している場合、それらもリスクにさらされる可能性がある。
Cashdollar氏によると、インターネットスキャンでは、少なく見積もっても7,000台のデバイスが脆弱であることが示されているが、影響を受けるデバイスの実際の数はより多い可能性がある。
Akamaiによって発見された攻撃で使用されたMiraiの変種は、主に「JenX」と呼ばれる古いものであった。しかしこの変種は、通常よりもはるかに少ないドメイン名を使用してコマンドアンドコントロールサーバーに接続するよう変更されている。さらに、いくつかのマルウェアサンプルは、「hailBot」という別のMirai変種との関連性を示している。
Sources
コメントを残す