Ciscoのルーターで少なくとも4カ国にバックドアが仕込まれていたことが判明

by Leonardo Rizzi

コンピュータネットワーク機器開発会社Cisco(シスコ)のスイッチハブ製品でネットワーク設定がリセットされてしまう可能性が明らかになっていますが、今度はCisco製のネットワークルーターにシステム上の脆弱性が発見されました。

SYNful Knock - A Cisco router implant - Part I ≪ Threat Research | FireEye Inc
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html

SYNful Knock: Detecting and Mitigating Cisco IOS Software Attacks
http://blogs.cisco.com/security/synful-knock

Cisco routers in at least 4 countries infected by highly stealthy backdoor | Ars Technica
http://arstechnica.com/security/2015/09/attackers-install-highly-stealthy-backdoors-in-cisco-routers/

セキュリティ関連企業のFireEyeによると、発見されたマルウェアは「SYNful knock」と呼ばれるもので、ウクライナ、フィリピン、メキシコ、インドの4カ国で合計14台のルーター内で見つかったとのこと。感染が見つかったルーターは「Cisco 1841」「Cisco 2811」「Cisco 3825」の3機種となっています。さらには攻撃者が永久的にネットワーク内に侵入できるバックドアが構築されており、「SYNful knockがネットワーク内に見つかったならば、バックドアも仕掛けられている可能性があり、バックドアを経由して攻撃者が他のネットワークにも侵入する可能性が高く非常に危険です」とFireEyeの調査員は語っています。

Ciscoの発表によれば、SYNful knockは、ルーターのパスワードを初期設定から変えていない機体や、何らかの形でパスワードの判明している機体を利用して感染範囲を広げていると見られていて、マルウェアが攻撃を受けたルーター内でROM MonitorやROMMONファームウェアに取って代わって作動するとのこと。

マルウェアにはCiscoのルーターのIOSイメージが含まれていて、攻撃者がインターネット上の匿名ユーザーの使っているモジュールを読み込むことが可能。さらに、マルウェアに感染するとパスワード付きのバックドアが構築され、無制限にルーターにアクセス可能となります。ルーターのインターフェイスに送信されたTCPパケットを利用することで、各モジュールをHTTPプロトコル経由で利用可能になるとのこと。TCPパケットは特別仕様でシーケンスが異なり承認番号に対応しているため、モジュールが独立して実行可能コードやフックとしてルーターのIOSイメージ内に現れて、バックドアパスワードと同様のはたらきを行うことにより、コンソールやTelnetを経由してルーターにアクセス可能となる仕組みです。

記事作成現在のところ、感染が見つかった機器の所有者や、攻撃者が誰なのかは判明していません。Ciscoは、ルーターがSYNful knockに感染しているかどうかを検出する方法を公開していますが、日本国内で企業が使っているルーターのうち3割以上のシェアをCiscoが占めているという調査結果もあり、日本国内の機体もSYNful knockに感染しているとすれば多大な影響を及ぼすと考えられます。