Buffalo WSR ルーターの脆弱性 CVE-2021-20090 は Mirai ボットを引き寄せる?

CVE-2021-20090 actively exploited to target millions of IoT devices worldwide

2021/08/07 SecurityAffairs — 脅威アクターたちは、Arcadyan ファームウェアを搭載した家庭用ルーターに影響を与える、深刻な認証バイパスの脆弱性 CVE-2021-20090 を積極的に利用して Mirai ボットを展開している。Tenable が公開したアドバイザリには、「Buffalo WSR-2533DHPL2 ファームウェア 1.02 以下 と WSR-2533DHP3 ファームウェア 1.24 以下の Web インターフェイスに、パス・トラバーサルの脆弱性があり、リモート攻撃者による認証バイパスが生じるかもしれない」と記されている。この欠陥は、17社のベンダーが製造する、数百万台の IoT 機器に影響を与える可能性があり、被害の対象としては何社かの ISP が含まれるかもしれない。今回の攻撃は、Juniper Threat Labs の研究者により発見されたものであり、この2月から IoT 機器を標的としていた、脅威アクターによるキャンペーンだと、専門家たちは捉えている。

Juniper によると、「8月5日現在、この脆弱性を利用しようとする、いくつかの攻撃パターンが、中国の湖北省武漢に所在する IP アドレスから発信されているのを確認している。この攻撃者は、3月に Palo Alto Networks が発表したものと類似した名称のスクリプトを使用し、影響を受けるルーターに対して Mirai の亜種を展開しようとしているようだ。我々も、2月18日から、同じ活動を目撃している。この類似性により、同一の脅威アクターが新しい攻撃の背後にいて、また、新たに公開された脆弱性を悪用する、侵入ウェポンをアップグレードしている可能性が生じる」と分析している。専門家によると、2021年6月6日〜7月23日の間に、脅威アクターたちは以下の脆弱性を悪用している。また、exploit-db に掲載されたが、CVE がアサインされていないものもある。

・CVE-2020-29557 (D-Link routers)
・CVE-2021-1497 and CVE-2021-1498 (Cisco HyperFlex)
・CVE-2021-31755 (Tenda AC11)
・CVE-2021-22502 (MicroFocus OBR)
・CVE-2021-22506 (MicroFocus AM)

専門家たちは、新しいエクスプロイトが継続して、攻撃者により追加され続けていると指摘している。脆弱性 CVE-2021-20090 は、少なくとも 10年前から、Arcadyan のファームウェアに存在していたため、Arcadyan のファームウェアを使用している全てのベンダーが自動的に、このバグを引き継いだことになる。また、Arcadyan に関連する直近の IOC (Indicators of Compromise:侵入の兆候) も公開されている。

原文のタイトルでは、Arcadyan ファームウェアと表記されていましたが、ユーザーも多いと思い、Buffalo WSR を主役にしました。この脆弱性 CVE-2021-20090 は、5月の連休明けにレポートされていました。先ほど、NVD を確認したら、Tenable からの情報をもとに 7月20日に更新され、CVSS が 9.8 に上がっていました。要注意です。私の場合、幸いなことに、使っているのは他社製ルーターですが、このファームウェアとの関連性が不明なので、しばらくはアップデート情報に注意するようにします。なお、この記事には、影響を受ける ISP が掲載されていませんでしたが、調べてみたところ Asus / British Telecom / Deutsche Telekom / Orange / O2 (Telefonica) / Verizon / Vodafone / Telstra / Telus などが並んでいませんでした。日本の ISP は、どうなんでしょうか?

%d bloggers like this: