新しい脆弱性を採り入れたMirai亜種2種を確認、監視カメラ用ストレージに侵入

Feb 21, 2020

トレンドマイクロは2月17日、公式ブログで「ホームルータや監視カメラ用ストレージシステムを狙うIoTマルウェア:『SORA』と『UNSTABLE』」と題する記事を公開しました。Miraiの新しい亜種「SORA」(検出名「IoT.Linux.MIRAI.DLEU」)と「UNSTABLE」(検出名「IoT.Linux.MIRAI.DLEV」)が確認されたとのことです。

この2つのMirai亜種は、Rasilient製の監視カメラ用ストレージシステム「Rasilient PixelStor5000」の脆弱性「CVE-2020-6756」を利用し、デバイスに侵入。ボットネットを構築し、分散型サービス拒否(DDoS)攻撃に荷担させます。多くのサイバー犯罪者は、DDoS攻撃をサービスとして提供することで利益を上げています。

「CVE-2020-6756」は、リモートでのコード実行(RCE)を可能とする脆弱性です。この脆弱性を悪用し、サイバー犯罪者は遠隔操作用サーバ(C&Cサーバ)からシェルスクリプトをダウンロード。このシェルスクリプトが、ペイロード(本体データ)である「SORA」あるいは「UNSTABLE」をダウンロードして実行します。

「SORA」は、2種のホームルータの脆弱性、攻撃者による遠隔からのコードの実行を可能にする「CVE-2017-17215」と、攻撃者によるデバイスの不正アクセスを可能にする「CVE-2018-10561」を利用して感染拡大を図ります。これに加え「UNSTABLE」は、Web開発フレームワーク「ThinkPHP」の脆弱性も利用していました。

このようにサイバー犯罪者は、どんどんと新しい脆弱性を採り入れ、さらなるMirai亜種を開発しています。ユーザやサービス提供者は、IoTデバイスのパスワードを初期設定のままにせず強固なものに更新する、使用していない機能は無効にする、ネットワークトラフィックを注意深く監視する、修正プログラムとアップデートを適用して脆弱性に対処するといった対策を、日常的に行うようにしてください。

 

<図1> ペイロードをダウンロードして実行するシェルスクリプト


This website uses cookies for website functionality, traffic analytics, personalization, social media functionality, and advertising. By continuing to browse, you agree to our use of cookies.
Continue
Learn moreprivacy policy