PW管理甘いCisco製ルータが乗っ取り被害 - 被害機器の探索行為も
シスコシステムズのIOSを搭載したルータ機器を乗っ取ろうと試みる攻撃が確認されている。すでにバックドアが設置されたルータも確認されており、これらを探索する行為も確認されている。
同社のIOSを搭載したネットワーク機器に対し、ROMモニタモード用のイメージを悪意あるイメージへ書き換える攻撃「SYNful Knock」が発生しているもの。イメージを入れ替えられた場合、機器の再起動後に不正なイメージから立ち上がり、外部より操作されるおそれがある。
同攻撃において脆弱性の悪用は確認されておらず、初期設定のパスワードや何らかの理由でパスワードが漏洩して管理者権限が奪われ、ROMモニタモードのイメージがアップグレード機能により、不正なものと入れ替えられたものと見られている。また物理的なアクセスが可能な場合にも攻撃を受けるおそれがある。
Shadowserver Foundationの調査では、9月20日の時点で199個のIPアドレスで「SYNful Knock」の振る舞いが確認され、31カ国163件のシステムにバックドアが設置されていたことが判明したという。米国が65件で最多。インド(12件)、ロシア(11件)と続く。日本国内のシステムは検知されなかった。
一方でバックドアが設置されたネットワーク機器を探索する動きも観測されている。警察庁によれば、研究者や非営利組織による探索行為が9月16日以降確認されていているが、18日から件数は少ないものの海外クラウドサービスのIPアドレスを発信元とした探索行為が発生しているという。
こうした探索行為の具体的な目的はわかっていないが、バックドア経由によりネットワーク機器へ攻撃を行う可能性もあることから、注意を呼びかけている。
(Security NEXT - 2015/09/25 )
ツイート
PR
関連記事
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か
Fortinetの「FortiManager」にゼロデイ脆弱性 - 悪用ないか確認を
「Atlassian Confluence」の既知脆弱性狙う攻撃が6月より増加
ランサム攻撃グループが「ESXi」脆弱性をゼロデイ攻撃に悪用
「Hyper-V」や「HFS」など脆弱性3件の悪用に注意喚起 - 米政府
「Cobalt Strike」不正利用対策で国際作戦 - 攻撃元IPアドレスを封鎖
先週注目された記事(2024年6月23日〜2024年6月29日)
WordPress向け複数プラグインにバックドア - 侵害状況の確認を
Phoenix製「UEFI」に脆弱性 - TPM保護を回避されるおそれ