Dark Mirai botnet targeting RCE on popular TP-Link router
2021/12/09 BleepingComputer — Dark Mirai (通称:MANGA) と呼ばれるボットネットが、2017年に発売されたホームルーター TP-Link TL-WR840N EU V5 に存在する、新たな脆弱性を悪用していることが確認された。この欠陥は、CVE-2021-41653 として追跡されており、認証されたユーザーがデバイス上でコマンドを実行するために使用する、脆弱な host 変数が原因となっている。
TP-Link は、2021年11月12日にファームウェア・アップデート (TL-WR840N (EU)_V5_211109) をリリースすることで、この欠陥を修正した。しかし、多くのユーザーは、現時点ではセキュリティ・アップデートを適用していないはずだ。
この脆弱性を発見した研究者が、RCE の PoC (Proof of Concept) エクスプロイトを公開しているため、それを悪用する脅威アクターが登場している。Dark Mirai の活動を追跡している Fortinet の研究者たちによると、TP-Link がファームウェア・アップデートを公開してから僅か2週間後に、この RCE を武器に加えたボットネットが出現したことになる。
搾取プロセス
Dark Mirai のケースでは、脅威アクターは CVE-2021-41653 を悪用して、端末に悪意のあるスクリプト tshit.sh をダウンロード/実行させ、2つのリクエストを介して主要なバイナリ・ペイロードをダウンロードさせる。
この脆弱性を悪用する脅威アクターは認証を行う必要があるが、ユーザーがデフォルトの認証情報をデバイスに残している場合には、その悪用は容易になる。MANGA は、標準的な Mirai と同様に、感染したマシンのアーキテクチャを検出し、適合するペイロードを取り込む。
次に、他のボットネットに感染させたデバイスを乗っ取られないように、一般的には、標的とされるポートへの接続をブロックする。最後に、このマルウェアは C&C (Command and Control) サーバーからのコマンドを待受け、何らかの形で DoS (サービス拒否) 攻撃を実行する。
IoT を悩ませる Mirai コード
Mirai は消滅したが、そのコードは、セキュリティ保護されていないデバイス上で、大規模な問題を引き起こす数多くの新たなボットネットを生み出している。つい昨日も、Hikvision 製品のコマンド・インジェクションの欠陥を悪用する、Moobot が出現したことを伝えた。
2021年8月には、多数の Realtek ベースのデバイスで使用されている SDK の深刻な脆弱性を、Mirai ベースの別のボットネットが標的としていた。新旧の Mirai などのボットネットの亜種から、ルーターを保護するためには、以下を実施する必要がある。
- 利用可能なファームウェアおよびセキュリティ・アップデートを可能な限り早期に適用する
- デフォルトの管理者認証情報を 20文字以上の強力なパスワードに変更する
- DNS 設定を定期的に確認する
- ホームルータではデフォルトで無効になっていることが多いファイアウォールを有効にする
- サブネット・アドレスを変更し、管理ページに SSL を導入する
- すべてのリモート管理機能を無効にする
- UPnP および WPS を使用していない場合は無効にする
- 使用しているルーターが古く、ベンダー・サポートが終了している場合には、新しいものに交換する
このブログを書いている部屋では、TP-Link のルーターを使っているので、ファームのバージョンを確認してみましたが、「最新」とのことでした。CVE-2021-41653 について確認してみたら、CVSS は9.8 で Exploit は有りとなっていました。文中にもありますが、昨日の Hikvision に続いて、Mirai ボットネットに狙われるデバイスが、あちらこちらに存在するという状況ですね。TP-Link をお使いの方は、ファームのバージョン確認を、ぜひ行ってみてください。
IoT OT Security News 