英国の Sky Router 600万台が 17ヶ月間も乗っ取り攻撃に晒されていた

Six million Sky routers exposed to takeover attacks for 17 months

2021/11/19 BleepingComputer — 英国 Sky Broadband のルーター約 600万台に、深刻な脆弱性の影響を受けているが、ユーザーへの修正プログラムの配布に 17ヶ月以上を要したという。公開された脆弱性は、DNS リバインディングの欠陥であり、ユーザーがデフォルトの管理者パスワードを変更していない場合、または、ブルートフォース攻撃で認証情報が流出した場合に、脅威アクターによる容易な悪用が可能になるという。

その結果、顧客のホーム・ネットワークが侵害され、ルーターの設定が変更され、他の内部デバイスにも影響をおよぼす可能性がある。

Sky ルーターの DNS リバインディング攻撃

DNS リバインディング攻撃は、Same Origin Policy (SOP) と呼ばれるブラウザのセキュリティ対策を回避するために使用される。SOP とは、オリジン以外の Web サイトにリクエストを送信することをブロックするものだ。このオリジンとは、通常、ユーザーがブラウザで訪問したドメインのことである。

このセキュリティ対策は、ある Web サイトによる他サイトのクッキー窃取や、他サイト・データへのアクセスなどの、クロスド・メイン攻撃を阻止するために導入されている。SOP は、IPアドレスではなくドメイン名に焦点を当てるため、その目的は、スクリプトがオリジン・ドメインと会話しているとブラウザに錯覚させることになるが、実際には内部 IP アドレス (127.0.01/192.168.0.1) と会話している。ここで DNS リバインディング攻撃が登場し、適切に実施されると、様々な攻撃につながることになる。

この攻撃を成功させるには、被害者を騙した悪意のリンク・クリックや、悪意の Web サイトへのアクセスを誘導する必要がある。ただし、それらは、脅威アクターが Sky ユーザーに対して、悪意のサイトへのリンクを含むフィッシング・メール/ソーシャル・メディアへの投稿/SMS テキストなどを送信することで、簡単に実現されてしまう。

こうしたサイトにユーザーがアクセスすると、攻撃者が管理するサブ・ドメインからデータを要求する iframe が表示される。このスクリプトは、iframe 上に JavaScript のペイロードをロードし、サーバーに対して連続した HTTP リクエストを実行し、サーバーは IP アドレスを応答する。

そして数秒後に、サーバーが一連のリクエストに対するレスポンスを停止すると、ブラウザのドメインへの接続が再び開始されるため、新たな DNS リクエストが送信される。今度は、サーバーから被害者のルーターであるターゲットの IP アドレス(192.168.0.1) が返信されてくる。

しかしブラウザは、依然としてオリジン・ドメインと通信していると錯覚するため、リモート Web サイトのスクリプトが、ルーターの内部 IP アドレス (192.168.0.1) にリクエストを送信することを許可してしまう。

PenTestPartners 社は報告書で、「攻撃者は、JavaScript ペイロードから標的となるルーターへの接続が確立された後に、内部の Web サーバーと通信し、クライアントの Web ブラウザから通常行われるのと同じ方法で、設定を変更するリクエストを送信できた」と説明している。この脆弱性を利用して、以下のような悪意の行為を、ルーター上で実行するための、PoC エクスプロイトが作成された。

  • 管理者としてデフォルトの認証情報 (User:admin – Password :sky) でログイン
  • 管理者パスワードの変更 (リモート管理を有効にするために必要)
  • SSID 名と WPA2 パスワードの収集と表示
  • リモート管理の有効化

    この PoC は、約600万人のユーザーの、ルーターモデルで動作する。

修正プログラムの配布には17ヶ月を要した

2020年5月11日に PenTestPartners チームは調査結果を報告し、この問題を認めた Sky は、修正日を 2020年11月に設定した。このスケジュールは、脆弱性開示における標準とされる 90日を超えていたが、この ISP は COVID-19 ロックダウンによる膨大なトラフィックに対処しており、研究者たちは異論なく受け入れた。

しかし、修正パッチは届かず、Sky は計画を修正し、2021年5月までに対象機種の 50% を修正することを約束し、それが実現された。つまり、残りの半分は依然として脆弱であり、PenTestPartners は Sky が怠慢である感じ、8月に報道機関に連絡することで、さらなる圧力をかけた。

結果として、2021年10月22日の時点で、Sky ルーターの 99% で修正が行われたことが、メールで伝えられてきたという。最初の情報開示から 17カ月以上が経っており、ユーザーの多くが自宅で仕事をしていた時期に、DNS リバインディング攻撃に対して脆弱な状態になっていた。

この Sky Broadband ですが、Wikipedia で調べてみると、ISP でありネットワーク機器の販売も行っているようです。ひょっとすると、問題となっている一連のルーター群は、いろんなメーカーから OEM で調達されているかもしれません。ネットワーク機器のベンダーさんには、もっと頑張って欲しいですね。つい先日にも、「Netgear の SOHO 向けデバイス群における任意のコード実行の脆弱性が FIX」という記事をポストしたばかりでした。

%d bloggers like this: