New EwDoor Botnet Targeting Unpatched AT&T Network Edge Devices
2021/12/01 TheHackerNews — 新たに発見されたボットネットは、分散型サービス拒否 (DDoS) 攻撃を可能にするものであり、通信サービス・プロバイダーである AT&T が所有する、Ribbon Communications (旧 Edgewater Networks) の EdgeMarc アプライアンスの4年前の欠陥を利用して、パッチが適用されていないアプライアンスを標的にしている。
2021年10月27日に、このボットネットを最初に検知した、中国の Qihoo 360 の Netlab ネットワーク・セキュリティ部門は、このボットネットを EwDoor と呼び、3時間という短い時間の中で、米国内に存在する 5,700 の危険な IP アドレスを観測したと述べている。
Qihoo 360 は、「EwDoor は、これまでに3つのバージョン・アップデートを経ており、その主な機能は、DDoS 攻撃とバックドアに集約されるようだ。攻撃されたデバイスが電話通信関連であることから、DDoS 攻撃および、通話ログなどの機密情報の収集が主な目的であると推測される」と述べている。
EwDoor は、EdgeMarc デバイスの欠陥を介して伝播し、自己アップデート/ファイル・ダウンロード/侵害されたマシン上でのリバース・シェルの取得/任意のペイロードの実行などの、さまざまな機能をサポートしている。問題となっている脆弱性は CVE-2017-6079 (CVSS:9.8) である。セッション・ボーダー・コントローラーに影響を与えるコマンド・インジェクションの欠陥であり、悪意のコマンドを実行するための武器となり得る。
EwDoor は、感染したシステムの情報収集以外にも、C2 サーバーの IP アドレスを取得し、通信を確立し、攻撃者が発行するコマンドを待ち受けることも可能だ。その処理は、BitTorrent Trackers を用いて間接的に行われる場合もある。
コメントを求められた AT&T は、「この問題は、以前から認識しており、緩和するための措置を講じており、引き続き調査を行っている。顧客データがアクセスされたという証拠はない」と述べている。
この、EdgeMarc の脆弱性 CVE-2017-6079 ですが、お隣のキュレーション・チームに確認したら、2017年6月20日のレポートで拾っているようです。ソースは NVD と JVN で、どちらも CVSS 9.8 とのことです。また、Depth Security というブログでは、PoC エクスプロイトも提供されています。それを、EwDoor ボットネットが積極的に探索し、攻撃も発生しているという状況のようです。EdgeMarc を導入している企業は、要警戒です。
IoT OT Security News 