Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

PW管理甘いCisco製ルータが乗っ取り被害 - 被害機器の探索行為も

シスコシステムズのIOSを搭載したルータ機器を乗っ取ろうと試みる攻撃が確認されている。すでにバックドアが設置されたルータも確認されており、これらを探索する行為も確認されている。

同社のIOSを搭載したネットワーク機器に対し、ROMモニタモード用のイメージを悪意あるイメージへ書き換える攻撃「SYNful Knock」が発生しているもの。イメージを入れ替えられた場合、機器の再起動後に不正なイメージから立ち上がり、外部より操作されるおそれがある。

同攻撃において脆弱性の悪用は確認されておらず、初期設定のパスワードや何らかの理由でパスワードが漏洩して管理者権限が奪われ、ROMモニタモードのイメージがアップグレード機能により、不正なものと入れ替えられたものと見られている。また物理的なアクセスが可能な場合にも攻撃を受けるおそれがある。

Shadowserver Foundationの調査では、9月20日の時点で199個のIPアドレスで「SYNful Knock」の振る舞いが確認され、31カ国163件のシステムにバックドアが設置されていたことが判明したという。米国が65件で最多。インド(12件)、ロシア(11件)と続く。日本国内のシステムは検知されなかった。

一方でバックドアが設置されたネットワーク機器を探索する動きも観測されている。警察庁によれば、研究者や非営利組織による探索行為が9月16日以降確認されていているが、18日から件数は少ないものの海外クラウドサービスのIPアドレスを発信元とした探索行為が発生しているという。

こうした探索行為の具体的な目的はわかっていないが、バックドア経由によりネットワーク機器へ攻撃を行う可能性もあることから、注意を呼びかけている。

(Security NEXT - 2015/09/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

バンコク事務所のサーバにバックドア、情報流出の可能性 - JETRO
Androidを侵入口に変える「TimpDoor」がSMSで拡散 - 5000台が感染か
Dell製ネットワーク管理製品に複数の脆弱性 - 10月のアップデートで修正済み
複数無線LAN製品に脆弱性「BLEEDINGBIT」 - TI製BLEチップに起因、医療機器にも影響か
一部Androidエミュレータがデバッグ経路をネット公開 - コインマイナー感染活動の標的に
中国「APT10」による国内メディア狙った標的型攻撃 - 外交問題関連ファイルを偽装
Windowsへのゼロデイ攻撃、「FruityArmor」関与か - 「Skype」経由で攻撃
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開
2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用