検索:
ホーム   »   脆弱性   »   ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア

ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア

  • 投稿日:2020年8月14日
  • 脅威カテゴリ:脆弱性
  • 執筆:Trend Micro
0

トレンドマイクロは、「Mirai」系IoTマルウェアの新しい亜種(「IoT.Linux.MIRAI.VWISI」として検出)を確認しました。この亜種は、「SORA」、「UNSTABLE」、「Mukashi」など過去数カ月の間に出現したMiraiから派生した亜種に新たに追加されるものとなります。この亜種は9つの脆弱性を利用する機能を備えていますが、中でも特にComtrend社製 VR-3033ルータの脆弱性(CVE-2020-10173)を利用対象に加えている点が注目されます。この脆弱性の利用は、過去のMiraiとその派生系の亜種では見られなかったものであり、IoTマルウェアを使用するサイバー犯罪者がマルウェアに新しい脆弱性を加えることによって、攻撃対象を拡大し続けていることを示しています。

■IoTマルウェアが新たに利用する脆弱性

新亜種が狙う脆弱性9つは新旧の脆弱性の組み合わせで構成されており、多種多様なIoT機器を幅広く攻撃することが可能です。特定のバージョンのIPカメラ(ネットワークカメラ)、スマートTV、ルータなどがこれらの脆弱性の影響を受けます。

とはいえ、これらの脆弱性の中で最も注目すべきはCVE-2020-10173です。これは、Comtrend社製の VR-3033ルータに存在するOSコマンドインジェクションの脆弱性で、攻撃者はこの脆弱性を利用することにより、ルータによって管理されているネットワークを遠隔から侵害することができます。これまで脆弱性「CVE-2020-10173」については概念実証(Proof of Concept、PoC)が公表されているのみで、IoTマルウェアによる実際の悪用事例は報告されていませんでした。

図1:CVE-2020-10173を利用するコード

今回のIoTマルウェアが利用するもう1つの比較的最近の脆弱性は、Netlink製 GPONルータ1.0.11に存在するリモートコード実行(RCE)の脆弱性です。今年2020年の発見が報告されており、IoTマルウェア「Bashlite(別名Gafgyt)」の亜種である「Hoaxcalls」のボットネットによる悪用事例が報告されています。

図2:Netlink GPONルータ1.0.11の RCEの脆弱性を利用するコード

新亜種は上記2つの脆弱性の他に、過去の攻撃活動で使用されてきた古い脆弱性を主に利用します。図3および4で示す2つのコードは、新亜種のコードに書かれている古い脆弱性の例です。

図3:LG SuperSign EZ CMS 2.5のRCEの脆弱性を利用するコード
図4:Linksys EシリーズのRCEの脆弱性を利用するコード

上記4つに加えて、以下の5種の古い脆弱性も利用します。

  • AVTECH製 IPカメラ、ネットワークビデオレコーダー(NVR)、デジタルビデオレコーダー(DVR):複数の脆弱性
  • D-Link製デバイス:UPnP SOAPコマンド実行の脆弱性
  • MVPower 製DVR TV-7104HE 1.8.4 115215B9:シェルコマンド実行の脆弱性
  • Symantec Web Gateway 5.0.2.8:RCEの脆弱性
  • ThinkPHP 5.0.23および5.1.31:RCEの脆弱性
■ブルートフォース機能

脆弱性の利用と共に、TelnetとSecure Shell(SSH)に対するブルートフォース/辞書攻撃も行われます。新亜種は、脆弱なデバイスへの攻撃に使用する認証情報を、XOR鍵「0x04」を用いた典型的なXOR暗号化を使用して隠蔽しています。以下の表は、トレンドマイクロで抽出した認証情報です。

抽出された認証情報

0 GM8182 ROOT500
1001chin grouter solokey
1111 guest svgodie
1234 h3c swsbzkgn
12345 hg2x0 system
123456 hi3518 t0talc0ntr0l4!
20080826 huigu309 taZz@23495859
54321 hunt5759 telecomadmin
5up iDirect telnet
666666 ipcam_rt5350 telnetadmin
88888888 iwkb tl789
abc123 juantech tsgoingon
admin jvbzd twe8ehome
ahetzip8 klv123 user
anko nflection vizxv
antslq nmgx_wapia win1dows
ascend oelinux123 xc3511
blender pass xmhdipc
cat1029 password zhongxing
changeme private zlxx.
default realtek zsun1188
dreambox root Zte521
■被害に遭わないためには

新亜種ではCVE-2020-10173を加えて攻撃可能な脆弱性を増やし、攻撃者がさらに多くのパッチ未適用のIoTデバイスを狙っていることがうかがえます。新しい脆弱性の追加は、さらに多くの攻撃の機会を提供することになります。ユーザが自身の保有するデバイスに脆弱性が存在することさえ知らない場合、パッチの適用が遅れ、手遅れになることがあります。

遅かれ早かれ、脆弱性「CVE-2020-10173」を利用したIoTマルウェアにボット化されたIoTデバイスが、分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃を実行するボットネットとして利用されるでしょう。また、このようなボットネットを監視する中では、攻撃の成功率を上げる脆弱性や認証情報のリストなどの攻撃手法を攻撃者がお互いにコピーし合う傾向があることが確認されています。つまり、新たに利用が確認された脆弱性は他のIoTマルウェアでも利用が進むため、特に注意が必要です。

Miraiのようなボットネットを構築するマルウェアからIoTデバイスを保護するには、以下のようなベストプラクティスに従う必要があります。

  • 脆弱性のパッチが利用可能になったら直ちに適用し、機器を最新の状態にしておく
  • ネットワークセグメンテーションを使用して、感染の拡大の可能性を防止する
  • 初期設定のパスワードを強力なパスワードに変更する
  • 安全な設定を適用して、予期せずに侵入口となりうる開口部を制限する
■トレンドマイクロの対策

個人利用者のホームネットワークに接続されたIoT機器については「ウイルスバスター for Home Network」、もしくは「Trend Micro Smart Home Network™」を搭載したルータにより保護することが可能です。これにより、ルータと接続されたすべての機器におけるインターネット通信の確認を可能にします。

法人利用者においては、脆弱性を利用する遠隔攻撃のトラフィックを、ネットワーク脅威防御ソリューション「TippingPoint」で検知、ブロックすることが可能です。また、ネットワーク挙動監視ソリューション「Deep Discovery ™ Inspector 」は、ネットワーク内の不審な挙動を可視化します。特にスマート工場向けのセキュリティ対策としては、トレンドマイクロの合併会社「TXOne Networks」が提供する産業制御システム向け製品があります。

 ■侵入の痕跡(Indicators of Compromise、IoC)

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事:

  • 「New Mirai Variant Expands Arsenal, Exploits CVE-2020-10173」
    by Augusto Remillano II and Jemimah Molina

翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)

Related posts:

  1. 潜在する脅威の顕在化-2015年以降の脅威を予測
  2. スマホや IoT機器、社内サーバでも脆弱性の修正が必要?: Linuxカーネルの脆弱性「CVE-2016-0728」から考える
  3. ルータや IoT機器に危険をもたらす管理用機能の放置
  4. ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加
Tags: IOT


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.