Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

PW管理甘いCisco製ルータが乗っ取り被害 - 被害機器の探索行為も

シスコシステムズのIOSを搭載したルータ機器を乗っ取ろうと試みる攻撃が確認されている。すでにバックドアが設置されたルータも確認されており、これらを探索する行為も確認されている。

同社のIOSを搭載したネットワーク機器に対し、ROMモニタモード用のイメージを悪意あるイメージへ書き換える攻撃「SYNful Knock」が発生しているもの。イメージを入れ替えられた場合、機器の再起動後に不正なイメージから立ち上がり、外部より操作されるおそれがある。

同攻撃において脆弱性の悪用は確認されておらず、初期設定のパスワードや何らかの理由でパスワードが漏洩して管理者権限が奪われ、ROMモニタモードのイメージがアップグレード機能により、不正なものと入れ替えられたものと見られている。また物理的なアクセスが可能な場合にも攻撃を受けるおそれがある。

Shadowserver Foundationの調査では、9月20日の時点で199個のIPアドレスで「SYNful Knock」の振る舞いが確認され、31カ国163件のシステムにバックドアが設置されていたことが判明したという。米国が65件で最多。インド(12件)、ロシア(11件)と続く。日本国内のシステムは検知されなかった。

一方でバックドアが設置されたネットワーク機器を探索する動きも観測されている。警察庁によれば、研究者や非営利組織による探索行為が9月16日以降確認されていているが、18日から件数は少ないものの海外クラウドサービスのIPアドレスを発信元とした探索行為が発生しているという。

こうした探索行為の具体的な目的はわかっていないが、バックドア経由によりネットワーク機器へ攻撃を行う可能性もあることから、注意を呼びかけている。

(Security NEXT - 2015/09/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用
「標的型攻撃」の相談、半年で158件 - 前期比4割減
ホテル予約者情報の流出、影響が波及 - 大規模から小規模まで
「Thrip」が衛星通信や防衛産業を標的に - 中国国内の端末から操作
ホテル事業者による個人情報流出の発表相次ぐ
大阪北部地震へ便乗するサイバー攻撃や詐欺などに警戒を
「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用
「W杯」便乗のサイバー攻撃に注意を - 選手の検索結果に危険が潜む場合も
1週間に2400件超のサイト改ざん - 詐欺サイト誘導の踏み台に
米政府、北朝鮮攻撃グループが悪用したマルウェア「Joanap」「Brambul」の情報を公開