自己複製型プログラムが、ベンダーの E シリーズ製品ラインのさまざまなモデルに存在する認証バイパスの脆弱性を悪用して、Linksys ルーターに感染しています。
SANS InstituteのInternet Storm Center(ISC)の研究者らは水曜日、Linksys E1000およびE1200ルーターが侵害を受け、ポート80および8080で他のIP(インターネットプロトコル)アドレス範囲をスキャンしていたというインシデントについて警告を発した。木曜日、ISCの研究者らは、ハニーポット(攻撃を受けやすいように意図的に無防備に置かれたシステム)の1つで、スキャン活動の原因となったマルウェアを捕捉できたと報告した。
この攻撃は、Linksys ルーターを侵害し、それらのルーターを使用して他の脆弱なデバイスをスキャンするワーム (自己複製プログラム) によるものと思われます。
「現時点では、Linksysルーターの様々なモデルにワームが拡散していることを認識しています」と、SANS ISCの最高技術責任者であるヨハネス・ウルリッヒ氏は別のブログ投稿で述べています。「脆弱性のあるルーターの正確なリストはありませんが、ファームウェアのバージョンによっては、以下のルーターが脆弱になる可能性があります:E4200b(上の画像)、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900。」
月面の最初のワーム
2009年の映画「ザ・ムーン」に登場する架空の企業、ルナ・インダストリーズのロゴが含まれていることから「TheMoon」と名付けられたこのワームは、スキャンしたIPアドレスの背後にあるデバイスに/HNAP1/ URLを要求することから始まります。HNAP(Home Network Administration Protocol)はシスコシステムズ社によって開発され、ネットワークデバイスの識別、設定、管理を可能にします。
ワームは、ルーターのモデルとファームウェアのバージョンを識別するためにHNAP要求を送信します。デバイスが脆弱であると判断された場合、デバイス上でローカルコマンドの実行を許可する特定のCGIスクリプトに別の要求を送信します。
SANSは、認証バイパスの脆弱性が存在するため、CGIスクリプトの名前を公表していません。「このリクエストは認証を必要としません」とウルリッチ氏は述べています。「ワームはランダムに「管理者」の認証情報を送信しますが、スクリプトによってチェックされません。」
このワームは、この脆弱性を悪用し、MIPSプラットフォーム用にコンパイルされたELF(実行可能かつリンク可能)形式のバイナリファイルをダウンロードして実行します。新しいルーター上で実行されると、このバイナリは感染対象となる新しいデバイスのスキャンを開始します。また、ランダムに選択された低番号ポートでHTTPサーバーを開き、新たに特定した標的に自身のコピーを送信します。
Linksys E2500 ルーター。
ウルリッチ氏によると、このバイナリには、スキャン対象となる670以上のIPアドレス範囲がハードコードされたリストが含まれている。「すべてが、様々な国のケーブルテレビやDSLモデムのISPにリンクされているようだ」
このマルウェアの目的は、他のデバイスへの拡散以外には不明です。バイナリには、コマンド&コントロールサーバーの存在を示唆する文字列がいくつか含まれており、この脅威は攻撃者がリモートで制御できるボットネットである可能性があります。
リンクシスは一部のEシリーズルーターの脆弱性を認識しており、修正に取り組んでいると、リンクシスの親会社ベルキンの広報担当マイク・デュイン氏は金曜日の電子メールで述べた。
ウルリッチ氏はブログへのコメントで、いくつかの緩和策を概説しました。まず、リモート管理用に構成されていないルーターは、この攻撃に直接さらされることはありません。ルーターをリモート管理する必要がある場合は、管理インターフェースへのアクセスをIPアドレスで制限することでリスクを軽減できるとウルリッチ氏は述べています。また、インターフェースのポート番号を80番や8080番以外の番号に変更することでも、この攻撃を防ぐことができると述べています。
