PW管理甘いCisco製ルータが乗っ取り被害 - 被害機器の探索行為も
シスコシステムズのIOSを搭載したルータ機器を乗っ取ろうと試みる攻撃が確認されている。すでにバックドアが設置されたルータも確認されており、これらを探索する行為も確認されている。
同社のIOSを搭載したネットワーク機器に対し、ROMモニタモード用のイメージを悪意あるイメージへ書き換える攻撃「SYNful Knock」が発生しているもの。イメージを入れ替えられた場合、機器の再起動後に不正なイメージから立ち上がり、外部より操作されるおそれがある。
同攻撃において脆弱性の悪用は確認されておらず、初期設定のパスワードや何らかの理由でパスワードが漏洩して管理者権限が奪われ、ROMモニタモードのイメージがアップグレード機能により、不正なものと入れ替えられたものと見られている。また物理的なアクセスが可能な場合にも攻撃を受けるおそれがある。
Shadowserver Foundationの調査では、9月20日の時点で199個のIPアドレスで「SYNful Knock」の振る舞いが確認され、31カ国163件のシステムにバックドアが設置されていたことが判明したという。米国が65件で最多。インド(12件)、ロシア(11件)と続く。日本国内のシステムは検知されなかった。
一方でバックドアが設置されたネットワーク機器を探索する動きも観測されている。警察庁によれば、研究者や非営利組織による探索行為が9月16日以降確認されていているが、18日から件数は少ないものの海外クラウドサービスのIPアドレスを発信元とした探索行為が発生しているという。
こうした探索行為の具体的な目的はわかっていないが、バックドア経由によりネットワーク機器へ攻撃を行う可能性もあることから、注意を呼びかけている。
(Security NEXT - 2015/09/25 )
ツイート
PR
関連記事
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
2023年10月修正の「vCenter」脆弱性、2021年後半には悪用か
Ivanti製VPN製品のゼロデイ脆弱性、PoCが公開 - 復旧時は再発防ぐ対応を
「Ivanti Connect Secure」のゼロデイ脆弱性、侵害状況の確認を
悪意あるファイル、1日あたり約41万件 - 前年比3%増
WordPressの開発チーム名乗るフィッシング - 不正プラグインに誘導
「Barracuda ESG」を侵害するバックドア、分析レポートの続報
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
「Barracuda ESG」への攻撃で利用されたマルウェアの分析レポート - 米当局
米当局、行政機関へ「Office」ゼロデイ脆弱性の緩和策実施を要請
