Experts Analyzed Attacks Against Poorly Managed Linux SSH Servers
2023/12/27 SecurityAffairs — AhnLab セキュリティ緊急対応センター (ASEC:AhnLab Security Emergency Response Center) の研究者たちが警告しているのは、管理の不十分な Linux SSH サーバが、DDoS ボットや CoinMiners のインストールを目的とした、攻撃の標的になっていることだ。
侵入の段階において、脅威アクターたちは、IP スキャンを実行して SSH サービスあるいは Port 22 が有効になっているサーバを検索し、ブルートフォース/ディクショナリ攻撃を仕掛けて、ID とパスワードを入手しているという。
さらに脅威アクターたちは、マルウェアをインストールしてスキャンを行い、ブルートフォース攻撃で取得した、侵害済みの IP とアカウント認証情報を、ダークウェブ上で販売することも可能となる。
管理が不十分な Linux SSH サーバに対する攻撃において、頻繁に使われるマルウェアには、ShellBot [1][2]/Tsunami [3]/ChinaZ DDoS Bot [4]/XMRig CoinMiner [5] などがある。
不正なログインに成功した脅威アクターたちは、以下のコマンドを実行して、CPU コアの総数のチェックを行っていたという。
| > grep -c ^processor /proc/cpuinfo |
AhnLab の ASEC のレポートには、「このコマンドの実行は、脅威アクターたちがアカウント認証情報を入手したことを意味している。続いて脅威アクターたちは、同じアカウント認証情報を使って再度ログインし、圧縮ファイルをダウンロードしていた。この圧縮ファイルには、ポートスキャナーと SSH ディクショナリ攻撃ツールが含まれている。さらに、脅威アクターたちが誤って入力した、”cd /ev/network” や “unaem 0a” などのコマンドも発見された」と詳述されている。
攻撃に使われているツールは、PRG old Team が作成したものがベースになっていると、研究者たちは考えている。脅威アクターたちは、このツールを修正することで、そのカスタム・バージョンを作成していた。
研究者が管理者たちに推奨するのは、推測されにくい強力なパスワードの設定と、定期的なパスワードの変更である。これらの対策により、ブルートフォース/ディクショナリ攻撃からの Linux SSH サーバ攻撃が緩和されるはずである。さらに専門家たちは、既知の脆弱性を悪用した攻撃を防ぐために、最新のパッチに更新することを推奨している。
ASEC のレポートは、「脅威アクターからの不正アクセスを制限するためには、外部からアクセス可能なサーバには、ファイアウォールなどのセキュリティ・プログラムを使用すべきだ。そして、マルウェア感染の防止のため、V3 を最新版にアップデートするなどの注意が必要である」と締め括っている。
SSH がブルートフォース/ディクショナリ攻撃の標的になっているという、ちょっと心配な状況です。つい先日の 2023/12/23 には、「OpenSSH の脆弱性 CVE-2023-51385/CVE-2023-6004 が FIX:直ちにアップデートを!」という記事がポストされています。よろしければ、SSH で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.