世界中の ISP が顧客に提供している 70 万台以上の ADSL ルーターに、リモート ハッカーが制御できる重大な欠陥が含まれています。
ほとんどのルーターには、webproc.cgiと呼ばれるファームウェアコンポーネントに「ディレクトリトラバーサル」の脆弱性があり、ハッカーが管理者の認証情報を含む機密設定データを抽出できる可能性があります。この脆弱性は新しいものではなく、2011年以降、複数の研究者によって様々なルーターモデルで報告されています。
セキュリティ研究者のカイル・ラヴェット氏は、数ヶ月前、余暇に解析していたADSLルーターでこの脆弱性を発見しました。彼はさらに調査を進め、ISPが12カ国のインターネット加入者に配布していた、様々なメーカーの数十万台もの脆弱なデバイスを発見しました。
ディレクトリ トラバーサルの脆弱性は、認証されていない攻撃者が、影響を受けるルーターのほとんどに存在し、構成設定が含まれている config.xml と呼ばれる機密ファイルを抽出するのに利用される可能性があります。
Dリンク D-Link DSL-2750E ADSL モデムは、重大なセキュリティ上の脆弱性があると特定されたデバイスの 1 つです。
ファイルには、管理者およびデバイス上のその他のアカウントのパスワード ハッシュ、ユーザーの ISP 接続 (PPPoE) のユーザー名とパスワード、一部の ISP が使用する TR-069 リモート管理プロトコルのクライアントおよびサーバーの資格情報、およびデバイスに Wi-Fi 機能がある場合には構成されたワイヤレス ネットワークのパスワードも含まれています。
ラヴェット氏によると、ルーターで使用されているハッシュアルゴリズムは脆弱であるため、パスワードハッシュは簡単に解読可能だ。攻撃者は管理者としてログインし、ルーターのDNS設定を変更できる。
ルーターが使用するDNSサーバーを制御することで、攻撃者はユーザーが正規のウェブサイトにアクセスしようとした際に不正なサーバーへ誘導することができます。ルーターファーミングと呼ばれる、ルーターに対する大規模なDNSハイジャック攻撃は、過去2年間で蔓延しています。
一部のデバイスでは、config.xml ファイルをダウンロードするのにディレクトリ トラバーサルの脆弱性さえ必要ではなく、そのファイルの場所への正しい URL を知っているだけで十分だと Lovett 氏は言います。
脆弱なDNSだけが問題ではない
多くのルーターには追加の脆弱性があります。例えば、約60%のルーターには、容易に推測できるハードコードされたパスワードを持つ隠しサポートアカウントがあり、そのアカウントはすべてのルーターで共有されています。一部のデバイスにはディレクトリトラバーサルの脆弱性はありませんが、このバックドアアカウントが存在するとLovett氏は述べています。
ルーターの約4分の1では、メモリダンプと呼ばれるアクティブメモリのスナップショットをリモートから取得することも可能です。これは危険な行為です。なぜなら、こうしたデバイスのメモリには、通過するインターネットトラフィックに関する機密情報(様々なウェブサイトの認証情報など)が平文で保存されている可能性があるからです。
ラベット氏は、複数のメモリダンプを分析した結果、ルーターがすでに攻撃者によって調査されていた兆候を発見した。攻撃は主に中国のIPアドレスから行われた。
彼が特定した脆弱なデバイスのほとんどは、ルーター機能を備えたADSLモデムで、コロンビア、インド、アルゼンチン、タイ、モルドバ、イラン、ペルー、チリ、エジプト、中国、イタリアの顧客にISPから提供されたものでした。米国やその他の国でも少数のデバイスが見つかりましたが、ISPから配布されたものではなく、市販のデバイスだったようです。
ZTE社 ZTE-H108N も、同じセキュリティ上の脆弱性を抱える別の ADSL モデムです。
ラヴェット氏は、インターネットスキャンと、インターネット接続デバイスに特化した検索エンジン「SHODAN」を用いて、脆弱なルーターを発見した。彼によると、70万台という数字は控えめな推定値であり、Webベースの管理インターフェースがインターネットに公開されているため、リモートから攻撃される可能性のあるデバイスのみを対象としているという。
同様の欠陥を抱えているものの、リモート管理が設定されていないデバイスは、おそらく他にも数多く存在するでしょう。これらのデバイスは、マルウェアやクロスサイトリクエストフォージェリ(CSRF)などによって、ローカルネットワーク内から攻撃を受ける可能性があります。CSRFは、ユーザーのブラウザを乗っ取って不正な操作を実行する手法です。
影響を受けるデバイスモデルには、ZTE H108NおよびH108NV2.1、D-Link 2750E、2730U、2730E、Sitecom WLM-3600、WLR-6100、WLR-4100、FiberHome HG110、Planet ADN-4101、Digisol DG-BG4011N、Observa Telecom BHS_RTA_R1Aが含まれます。その他の脆弱なデバイスは特定のISP向けにブランド化されており、実際のメーカーやモデル番号は特定できませんでした。
しかし、ラヴェット氏は一つの共通点を発見した。影響を受けたルーターの大半は、T&Wの商標でも事業を展開している深圳工金電子という中国企業が開発したファームウェアを実行していたのだ。
深圳工金電子は、ネットワークおよび通信製品のOEM(相手先ブランド製造)およびODM(相手先ブランド設計製造)企業です。自社仕様だけでなく、他社仕様のデバイスも製造しています。
コンピュータハードウェアのオンラインデータベースであるWikiDeviで検索したところ、深圳工金電子は、D-Link、Asus、Alcatel-Lucent、Belkin、ZyXEL、Netgearなど、多数のベンダーのネットワーク機器の製造元としてリストされている。リストされている機器のうち、Lovett氏が指摘した脆弱性を含む可能性のある同社製ファームウェアを搭載している機器がどれだけあるかは不明である。
また、深セン工金電子がこれらの欠陥を認識しているかどうか、あるいはすでにファームウェアのパッチ版をパートナー企業に配布しているかどうかも不明だ。
同社はコメント要請に応じず、ラヴェット氏によれば同社への通知の試みも同様に無反応だったという。
研究者は、自身が特定した影響を受けるデバイスのベンダーと、米国コンピュータ緊急事態対策チーム (US-CERT) にも通知した。
彼は水曜日、英国で開かれたセキュリティカンファレンスで、ルーター、ネットワーク接続ストレージ機器、IP カメラなど、脆弱な SOHO 組み込みデバイスに関する大規模なプレゼンテーションの一環として、調査結果の一部を公開した。
このストーリーは公開後に更新されました。
