Ciscoのルーターで少なくとも4カ国にバックドアが仕込まれていたことが判明

by Leonardo Rizzi

コンピュータネットワーク機器開発会社Cisco(シスコ)のスイッチハブ製品でネットワーク設定がリセットされてしまう可能性が明らかになっていますが、今度はCisco製のネットワークルーターにシステム上の脆弱性が発見されました。

SYNful Knock - A Cisco router implant - Part I ≪ Threat Research | FireEye Inc
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html


SYNful Knock: Detecting and Mitigating Cisco IOS Software Attacks
http://blogs.cisco.com/security/synful-knock


Cisco routers in at least 4 countries infected by highly stealthy backdoor | Ars Technica
http://arstechnica.com/security/2015/09/attackers-install-highly-stealthy-backdoors-in-cisco-routers/

セキュリティ関連企業のFireEyeによると、発見されたマルウェアは「SYNful knock」と呼ばれるもので、ウクライナ、フィリピン、メキシコ、インドの4カ国で合計14台のルーター内で見つかったとのこと。感染が見つかったルーターは「Cisco 1841」「Cisco 2811」「Cisco 3825」の3機種となっています。さらには攻撃者が永久的にネットワーク内に侵入できるバックドアが構築されており、「SYNful knockがネットワーク内に見つかったならば、バックドアも仕掛けられている可能性があり、バックドアを経由して攻撃者が他のネットワークにも侵入する可能性が高く非常に危険です」とFireEyeの調査員は語っています。

Ciscoの発表によれば、SYNful knockは、ルーターのパスワードを初期設定から変えていない機体や、何らかの形でパスワードの判明している機体を利用して感染範囲を広げていると見られていて、マルウェアが攻撃を受けたルーター内でROM MonitorやROMMONファームウェアに取って代わって作動するとのこと。

マルウェアにはCiscoのルーターのIOSイメージが含まれていて、攻撃者がインターネット上の匿名ユーザーの使っているモジュールを読み込むことが可能。さらに、マルウェアに感染するとパスワード付きのバックドアが構築され、無制限にルーターにアクセス可能となります。ルーターのインターフェイスに送信されたTCPパケットを利用することで、各モジュールをHTTPプロトコル経由で利用可能になるとのこと。TCPパケットは特別仕様でシーケンスが異なり承認番号に対応しているため、モジュールが独立して実行可能コードやフックとしてルーターのIOSイメージ内に現れて、バックドアパスワードと同様のはたらきを行うことにより、コンソールやTelnetを経由してルーターにアクセス可能となる仕組みです。


記事作成現在のところ、感染が見つかった機器の所有者や、攻撃者が誰なのかは判明していません。Ciscoは、ルーターがSYNful knockに感染しているかどうかを検出する方法を公開していますが、日本国内で企業が使っているルーターのうち3割以上のシェアをCiscoが占めているという調査結果もあり、日本国内の機体もSYNful knockに感染しているとすれば多大な影響を及ぼすと考えられます。

・関連記事
1200万台以上のルーターのファームウェアに脆弱性が判明、接続した全てのデバイスが攻撃対象に - GIGAZINE

ルーターなどに感染しSNS上で暗躍するボットを量産する恐怖のマルウェアが発見される - GIGAZINE

UPnPの脆弱性が自分のルーターにあるかどうかがクリックするだけでわかる「Checkmyrouter」 - GIGAZINE

GoogleがWi-Fiルーター「OnHub」を発売、家庭用インターネットのすべての掌握を狙う - GIGAZINE

ダンボーが目を光らせながら自宅のWi-Fi環境を支えてくれる「ダンボー無線LANルーター&無線LAN中継機」を使ってみました - GIGAZINE

2016年までにテラバイトどころかエクサバイト・ゼタバイト級にネット全体の通信量が爆増へ - GIGAZINE

いろいろなネットワーク機器などのデフォルトパスワードリスト - GIGAZINE

255

in ハードウェア,  セキュリティ, Posted by darkhorse_log