今回もまた、10万台以上の家庭用ルーターが、今度はユニバーサル プラグ アンド プレイ (UPnP) を介して、スパムを撒き散らすボットネットに強制的に組み入れられました。
360 Netlab の研究者によると、このマルウェアは Broadcom UPnP 実装の脆弱性を悪用して脆弱なゲートウェイに感染し、多数のルーター製造業者のキットにこの技術が使用されているため、影響を受けることになるという。
Billion、D-Link、Linksys、Technicolor、TP-Link、ZTE、Zyxel、オーストラリアの供給業者 NetComm が製造した機器、および CenturyLink やオーストラリアの ISP iiNet などの ISP ブランドで供給された多数のデバイスが、マルウェアに感染したことが確認された 116 種類のデバイス モデルに含まれています。
水曜日に公開されたアドバイザリの中で、Hui Wang氏とRootKiterを名乗る人物は、乗っ取られたルーターが、BroadcomがUPnPに使用しているTCPポート5431とUDPポート1900へのネットワークトラフィックの急増を確認したと述べています。ボットネットマルウェアに感染したこれらのゲートウェイは、インターネット上で他の脆弱なデバイスをスキャンし、攻撃や感染の標的を探していました。
研究者らは、これらのスキャン活動は散発的だが大規模であると指摘している。「スキャン活動は1~3日ごとに活発化しています。1回のスキャンでアクティブなIPアドレスは約10万件です」と述べており、これはつまり、毎回約10万台の乗っ取られたボックスが稼働していたことを意味する。
これらのスキャンで、Broadcomのチップセットを搭載し、UPnPが有効になっているルーターが発見されると、攻撃者が管理するサーバーはマルウェアの指示を受け、Broadcomの脆弱性を自動的に悪用して、新たに発見されたゲートウェイにマルウェアを感染させます。マルウェアは最新の標的サーバーに侵入すると、「Outlook、Hotmail、Yahoo !メールなどの有名なメールサーバー」などと通信します。研究者たちは、これがマルウェアの首謀者がスパムメールをばらまくボットネットを構築したと確信している理由です。
UPnP は「消費者向けデバイスではもうオフにしておきましょう」クラブに加わりました
続きを読む
2人がBCMUPnP_Hunterと名付けたこのマルウェアは、他のルーターに脆弱性があるかどうかを確認し、そのIPアドレスを109[.]248[.]9[.]17:8738にあるコマンドアンドコントロールサーバーに渡します。そして、シェルコードを使ってルーターを2回攻撃します。1回目はシステムのメモリレイアウトを調査し、2回目は収集した情報を用いてデバイスを乗っ取り、カスタマイズされたエクスプロイトを作成します。デバイスに注入されて実行されると、マルウェアはTCPポート25を介してメールプロバイダーが運営する14のIPアドレスにアクセスします。
研究者によると、Shodanでバナーを検索したところ、Server: Custom/1.0 UPnP/1.0 Proc/Ver潜在的に脆弱な機器が最大40万個見つかったという。また、自身のネットワーク上でボットネットの活動を検出するために、重要なハッシュとIPアドレスも提供されている。
UPnP は長年にわたって標的にされてきました。以下は、ポートスキャンについて簡単に説明した 2013 年の SANS の日記エントリです。また、今年 3 月には、SANS へのコメントで、360 Netlabs の注目を集めたスキャンに類似したパターンが報告されました。
Broadcom UPnPの脆弱性が悪用されたのは2013年のことですが、数年経った今でも、多くのデバイスは修正プログラムが開発されているにもかかわらず、ユーザーがアップデートを適用していないか、アップデートが配布されていないためにパッチが適用されていません。ご不安な場合は、ルーターの最新ファームウェアをインストールしてください。UPnPを完全に無効にすることも悪くありません。®
