Hikvision の脆弱性 CVE-2021-36260:Mirai ベースの Moobot ボットネットが狙っている

Moobot botnet spreads by exploiting CVE-2021-36260 flaw in Hikvision products

2021/12/09 SecurityAffairs — Mirai_based Moobot ボットネットは、Hikvision の Web サーバーに存在する、コマンド・インジェクションの脆弱性 CVE-2021-36260 を悪用して、急速に広まっている。Moobot は、2021年2月に Palo Alto Unit 42 の研究者たちにより発見されたものだが、最近の攻撃ではマルウェアの機能が強化されていることが判明している。

この問題は、70 種類以上の Hikvision カメラと NVR モデルに影響し、また、攻撃者にデバイスの乗っ取りを許してしまうという、深刻なものである。具体的には、Hikvision の IP カメラ/NVRのファームウェアに存在する、未認証によるリモートコード実行 (RCE) の脆弱性であり、”Watchful IP ” という名前でオンライン活動を行っている、セキュリティ研究者により発見されている。

この脆弱性を利用して IP カメラを侵害すると、そのデバイスを使って内部ネットワークに不正アクセスが可能となり、IP カメラを使用しているインフラにリスクが生じる。Watchful IP の指摘によると、この問題の悪用にユーザーの操作は不要であり、攻撃者は http(s) サーバーのポート (通常 80/443) にアクセスするだけとのことだ。また、専門家は、2016年以降に開発された、すべてのファームウェアをテストし、それらに脆弱性が存在することが分かったと指摘している。

Hikvision によると、この脆弱性の原因は不十分な入力検証にあり、脆弱なデバイスに対して特別に細工したメッセージを送信することで、悪用される可能性があるという。同社は、攻撃者によるデバイスのネットワークへのアクセスが可能な場合と、デバイスがインターネットに接続されている場合にのみ、この欠陥が悪用されるとしている。この脆弱性は、6月にベンダーに対して報告され、同社は 9月19日にファームウェアのアップデートを公開している。

Fortinet の研究者たちは、この脆弱性を利用して、パッチが適用されていないデバイスから、ボットネットが機密データを抽出していたと報告している。その分析結果は、「この脆弱性を利用して、デバイス状態の探索や、機密データの抽出を行うペイロードが多数確認された。特に注目したのは、Mirai_based の DDoS ボットネットである Moobot を実行する、ダウンローダーをドロップしようという挙動を示すペイロードだ」となっている。

Fortinet の研究者たちは、”hikivision” パラメータを持つ Moobot マルウェアのダウンローダを発見し、最終的なペイロードを “macHelper” として保存した。また、このマルウェアは、管理者が感染したデバイスを再起動できないようにするために、reboot などの基本的なコマンドを変更してしまう。また、Moobot と Mirai の間の類似点や、Moobot が Satori ボットネットから、いくつかの要素を借りていることも確認された。つまり、Moobot は、複数の攻撃方法をサポートする DDoS ボットネットである。

Fortinet の研究者たちは、キャプチャしたパケットデータを分析することで、8月以降に DDoS サービスの宣伝に使われていた、Telegram チャネルを突き止めた。彼らは、「この脆弱性に対処するパッチがリリースされているが、この IoT ボットネットは脆弱なエンドポイントを探すことを止めない。そのため、ユーザーは影響を受けたデバイスを直ちにアップグレードし、FortiGuard の保護を適用する必要がある」と結論付けている。

Amazon で調べてみたら、Hikvision のカメラ2台と、1TB の NVR (Network Video Recorder) のセットが8万円くらいで売られていました。また、Hikvision は中国の企業であり、こうしたシステムを civilian and military 用途に製造/販売しているようです。どれだけの監視カメラが、中国国内に配備されているのか、ちょっと想像できませんが、その量産効果が背景にあり、世界でシェアを伸ばしているのでしょう。その脆弱性を、Mirai_based Moobot ボットネットが狙っているという構図のようです。なお、お隣のキュレーション・チームに確認したら、CVE-2021-36260 は 9月/10月/11月に拾われていて、CVSS 値が CVSS 値は 5.5 から9.8 に上がっていました。また、exploit-db で PoC も公開されていました。

%d bloggers like this: