orangeitems’s diary

40代ITエンジニアが毎日何か書くブログ

「ルーターにサイバー攻撃か ネット接続で不具合相次ぐ」についてもう少し詳しく

f:id:orangeitems:20180329004838j:plain

 

ルーターへのサイバー攻撃

どうやら、インターネット接続用のルーター機器にサイバー攻撃が流行しているようです。昨日夕方のニュースです。

www.asahi.com

画面に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」とのメッセージが表示され、ネットにつながらなくなる。

この記事だけでは詳細まで理解するのは難しいと思いまとめることにします。

スポンサーリンク

 

事例

すでにオフィスで同じ状況になり、解決された方がいらっしゃいますのでご紹介します。

tips4life.me

こちらの内容を読むだけでも十分概要はつかめると思います。

以下、解説です。

 

攻撃の内容

1)攻撃者がルーターに侵入しDNSサーバーのアドレスを変更する

世の中にはたくさんのインターネット接続用ルーターがありますよね。そのルーターにネットワークインターフェースという通信用の部品が必ず入っていて、その部品の世界シェア70%がRealtekという会社のものらしいです(Wikipedia調べ)。したがっていろんな製品のルーターが攻撃対象になっています。

その部品を使うためのソフトウェアを開発するための開発キット(SDK)がRealtek SDKでありこれを使ってルーターの中のソフトウェアは通信ができるようになります。ところが、このRealtek SDKに脆弱性がありました。

CPAI-2015-0911 | Check Point Software

ここに説明されている「Realtek SDK Miniigd AddPortMapping SOAP アクション・コマンドのインジェクション (CVE-2014-8361)」というのが元凶です。

Realtek SDK にコマンドがインジェクトされる脆弱性が存在します。脆弱性は、miniigd SOAP サービスへの NewInternalClient リクエストを処理する際、ユーザ入力データの入力が十分にサニタイズされない問題に起因しています。細工した SOAP リクエストを対象サービスに送ることで、脆弱性を悪用して root 権限でコードを実行される可能性があります。

サニタイズとは「無害化する」という意味ですが、結局何がこわいかというと、このNewInternalClientというリクエストに付属するユーザー文字列の中に、root権限のコマンドを埋め込んでしまえるというものです。root権限でコマンドを実行できるということは、イコール「そのルーターの設定はなんでも変更できる」ということです。

外からの攻撃ですが、UPnPプロトコル(52869/TCP)です。このポートに上記の命令を投げ込めば攻撃が完成します。このUPnPをWAN側(インターネット側)にオープンにしなければいいじゃないかと思うでしょうが、世の中にはUPnPがデフォルトで公開されている機器が8000万台あるという報告もあります。

UPnPに脆弱性か--ネットワーク上の膨大な数の機器に影響のおそれ - CNET Japan

今回の攻撃においては、事例にもある通り、DNSサーバーのアドレスを書き換えるようです。

 

2)そのルーターを使っている家庭やオフィスの端末が、誤ったDNS経由で名前解決するので、攻撃者のサイトに全部繋がってしまうようになる

ルーターのDNSには普段、インターネットプロバイダーのDNSサーバーがDHCPで自動設定されているわけですが、攻撃者がDNSサーバーのアドレスを書き換えてしまっています。したがってそこに繋がるPCやスマホは全部、攻撃者の指定するサーバーへつながってしまいます。

そこに、例の「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」とのメッセージが出るWEBサーバーが置いてあるわけですね。

で、稚拙な作りのようで、上記メッセージが出た後apkファイルがダウンロードされるそうです。apkファイルはandroid用のインストーラーなので、今回の攻撃であれば、android端末だけが脅威になります。もちろんGoogle Play経由でしかインストールしない設定であれば感染はしません。PCやiPhoneはダウンロードするだけでは何の意味もないでしょう。もちろん、ダウンロードしてしまったら削除しておいてください。

 

暫定対策

この現象に遭遇してしまった場合の暫定対策です。

1)ルーターのDNSサーバーが書き換わっていると思われます。ルーターを初期化するか、DNSサーバーの設定を元に戻してあげれば、PCやスマホはインターネットにつながるようになります。これをやるまでは名前解決ができなくなり、端末は実質インターネットにつながりません。

2)apkファイルは絶対にandroid端末に「インストール」してはいけません。どんな動きをするかはわかりません。

 

恒久対策

・ルーターはファームウェアのアップデートを行ってください。脆弱性自体は2013年のものなので、どんなルーターにもアップデートが出ているはずです。もし保守切れでアップデートの出ていない機器であれば、買い替えも手段です。詳しくは契約しているプロバイダーのサポートに聞いてみてください。

・UPnPを無効にしてください。なぜかデフォルトで有効になっているルーターが多いようです。

 

まとめ

家のルーターなんてつながったらほとんどメンテしませんもんね。わかりますが、今回のように常に攻撃にさらされていますので、ぜひ、ファームウェアのアップデートを行いましょう。

 

追記

52869/TCPがインターネットにANYでさらされていて、ここがUPnPを受け付けているなんてにわかに信じがたかったのですが、警視庁のPDF文書にちゃんと解説が載ってますね。

脆弱性が存在するルータを標的とした宛先ポート 52869/TCP に対するアクセス及び日本国内からのTelnet による探索を実施するアクセスの観測等について
(警視庁、PDFファイル)

f:id:orangeitems:20180329095738p:plain

 

上記、よく見るとしっかりUPnPのSOAPメッセージとしてAddPortMappingが使われていて、中にrootで実行したいコマンドが埋め込まれています。このようにしてDNSサーバーのIPアドレスを置き換えているんでしょう。

インターネットプロバイダのSo-netのホームページに一般的な対策が掲載されているので添付しておきます。

セキュリティ通信 | サービス一覧 | 会員サービス | So-net

 

追記

原因が判明しました。

 

www.orangeitems.com