ファームウェアが古くなった Ubiquiti Networks 社製ルーター数千台で、ワームが拡散していると報じられています。同社のセキュリティアドバイザリによると、過去数週間にわたって、既知の脆弱性を悪用するワームが airOS M デバイスに感染しているということです。このワームは、侵入先のデバイス上で独自のアカウントを作成し、そこから同じサブネット内と他のネットワーク上にある他のルーターに対して大量感染を狙います。
この攻撃の影響を受けるのは、以下の Ubiquiti 社製デバイスでファームウェアが古くなっている場合です。
ファームウェアが古くなっており、HTTP/HTTPS インターフェースをインターネットに公開しているルーターは、影響を受ける恐れがあります。Ubiquiti 社は、この脆弱性に対するパッチを 1 年ほど前にリリースしていますが、 こうしたデバイスではよくあるように、ファームウェアが更新されていないルーターがまだ多数あるようです。
シマンテックが解析を進めるうちに、同社のルーターは別の攻撃でもログイン未遂の標的になっていることが判明しました。この場合、攻撃者は Ubiquiti 社のデフォルトのログイン情報を使ってデバイスへのアクセスを試みています。
ワーム攻撃の仕組み この活動で、ワームはまずルーターの 1 つに感染し、それを足がかりにして、ネットワークの内部と外部とを問わず他のルーターに侵入します。
このワームを解析しているとき、シマンテックのハニーポットルーターにセキュアシェル(SSH)経由でログインしようとする試みが確認されました。Ubiquiti のデフォルトのログイン情報(ユーザー名: ubnt、パスワード: ubnt)が使われています。シマンテックのハニーポットからのデータを見ると、これは攻撃者がルーターへの侵入を試みるときに使われるログイン情報の上位 5 位に入っていることがわかります。
攻撃者の目的 これまでのところ、このワームはバックドアアカウントを作成し、デバイスへのアクセスを遮断したうえで他のルーターに拡散する以外の活動は行っていないようです。この活動の背後に潜む攻撃者は、純粋な腕試しとしてワームを拡散しているのかもしれません。あるいは、もっと大規模な攻撃をしかけるための準備調査の段階とも考えられます。いずれにしても、この活動が攻撃者に大量のルーターへのアクセスを許し、標的のインフラストラクチャを危険にさらす危険性を秘めていることは確かです。
ルーター間で拡散するワームが確認されるのは、初めてのことではありません。昨年も、ファームウェアが古い、あるいはパスワードが弱いルーターとモノのインターネット(IoT)に感染する Linux.Wifatch が確認されています。Ubiquiti 社のルーターは、このときの Wifatch の活動でも狙われました。
こうした攻撃が成功するというのは、IoT のセキュリティにおける問題のひとつです。デバイスには常に最新のファームウェアとアップデートを適用しておく必要があります。この脆弱性は、昨年すでにパッチが公開されていたにもかかわらず、依然として悪用が可能で、何千台ものルーターに感染する恐れがあるからです。
対処方法 Ubiquiti は、セキュリティアップデートを公開し、バージョン 5.6.5 のファームウェアに存在する脆弱性に対してすでにパッチがリリースされていることを強調しています。削除ツールも公開しました。Ubiquiti 社は、ファームウェアをアップデートするよう勧告する一方、ファイアウォールのフィルタリングを使って管理インターフェースへのアクセスを制限することも推奨しています。
このような攻撃を防ぐために、以下の手順もお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】