Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

PW管理甘いCisco製ルータが乗っ取り被害 - 被害機器の探索行為も

シスコシステムズのIOSを搭載したルータ機器を乗っ取ろうと試みる攻撃が確認されている。すでにバックドアが設置されたルータも確認されており、これらを探索する行為も確認されている。

同社のIOSを搭載したネットワーク機器に対し、ROMモニタモード用のイメージを悪意あるイメージへ書き換える攻撃「SYNful Knock」が発生しているもの。イメージを入れ替えられた場合、機器の再起動後に不正なイメージから立ち上がり、外部より操作されるおそれがある。

同攻撃において脆弱性の悪用は確認されておらず、初期設定のパスワードや何らかの理由でパスワードが漏洩して管理者権限が奪われ、ROMモニタモードのイメージがアップグレード機能により、不正なものと入れ替えられたものと見られている。また物理的なアクセスが可能な場合にも攻撃を受けるおそれがある。

Shadowserver Foundationの調査では、9月20日の時点で199個のIPアドレスで「SYNful Knock」の振る舞いが確認され、31カ国163件のシステムにバックドアが設置されていたことが判明したという。米国が65件で最多。インド(12件)、ロシア(11件)と続く。日本国内のシステムは検知されなかった。

一方でバックドアが設置されたネットワーク機器を探索する動きも観測されている。警察庁によれば、研究者や非営利組織による探索行為が9月16日以降確認されていているが、18日から件数は少ないものの海外クラウドサービスのIPアドレスを発信元とした探索行為が発生しているという。

こうした探索行為の具体的な目的はわかっていないが、バックドア経由によりネットワーク機器へ攻撃を行う可能性もあることから、注意を呼びかけている。

(Security NEXT - 2015/09/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

IoT機器で広く採用される「Treck TCP/IP Stack」に深刻な脆弱性
QNAP製NASを狙うマルウェアに警戒を - 世界で約6.2万台が感染
「Emotet」の脅威 - 組織やビジネスへの影響を考える
標的型攻撃のレスキュー支援、2019年度は139件
狙われるZyxel製ネットワーク管理製品の脆弱性 - ボットネットも標的に
ビデオ会議システムやルータへの脆弱性攻撃を国内で観測 - 警察庁
パッチ適用で終わらぬ「Pulse Secure」脆弱性 - 数カ月後に侵害されたケースも
DrayTek製複数ネットワーク機器に深刻な脆弱性 - すでに悪用も
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
ASUSの更新機能が侵害、マルウェア拡散 - MACアドレスで標的絞りさらなる攻撃