N​​etgear ルーターに複数の脆弱性:ゲーマー用の FunJSQ モジュールが問題を引き起こす

Netgear Routers impacted by FunJSQ Game Acceleration Module flaw

2022/09/18 SecurityAffairs — Xiamen Xunwang Network Technology が開発した、オンライン・ゲーム高速化のサードパーティ・モジュールである FunJSQ を介して任意のコードが実行され、Netgearルータの複数のモデルに影響が生じる、セキュリティとコンプライアンスの評価会社 Onekey の研究者たちが警告している。

Continue reading “N​​etgear ルーターに複数の脆弱性:ゲーマー用の FunJSQ モジュールが問題を引き起こす”

Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される

Cisco won’t fix authentication bypass zero-day in EoL routers

2022/09/07 BleepingComputer — Cisco の新たな発表は、中小企業向け VPN ルーターに影響をおよぼす認証バイパスの脆弱性について、デバイスが製造終了 (EoL) に達したことを理由として、パッチを適用しないというものである。このゼロデイ脆弱性 CVE-2022-20923 は、パスワード検証アルゴリズムの欠陥に起因するものであり、IPSec VPN サーバー機能が有効化されている場合に、細工された認証情報も用いる攻撃者に対して、脆弱なデバイス上の VPN にログインを許すというものである。

Continue reading “Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される”

ETHERLED エアギャップ攻撃:ネットワークボードの LED 点滅から機密情報を抽出

ETHERLED: Air-gapped systems leak data via network card LEDs

2022/08/23 BleepingComputer — イスラエルの研究者である Mordechai Guri は、ネットワークカード上のLEDインジケータを使用して、エアギャップ・システムからデータを取得する新しい方法を発見した。この、 ETHERLED と名付けられた方法は、点滅するライトをモールス信号にして、攻撃者が解読できるようにするものだ。

Continue reading “ETHERLED エアギャップ攻撃:ネットワークボードの LED 点滅から機密情報を抽出”

DrayTek Vigor Routers の RCE の脆弱性:世界の220万台/日本の16万台は安全なのか?

Critical RCE Bug Could Let Hackers Remotely Take Over DrayTek Vigor Routers

2022/08/04 TheHackerNews — DrayTek のルーターモデル 29 種に、リモートコード実行の脆弱性が、新たに発見され た。Trellix の研究者である Philippe Laulheret は、「デバイスの管理インターフェースが、インターネットに接続されるように設定されている場合において、この攻撃はユーザーの操作なしに引き起こされる。また、デフォルトのデバイス・コンフィグレーションでは、LAN 内からのワンクリックで、攻撃を行うことも可能だ」と述べている。また、この脆弱性 CVE-2022-32548 の悪用に成功した攻撃者は、ルータを完全に制御することが可能になるため、CVSS スコア 10.0 と評価されている。

Continue reading “DrayTek Vigor Routers の RCE の脆弱性:世界の220万台/日本の16万台は安全なのか?”

Cisco VPN Router の3つの深刻な脆弱性 CVE-2022-20827 などが FIX

Cisco fixes critical remote code execution bug in VPN routers

2022/08/03 BleepingComputer — Cisco は、Small Business VPN ルーターにおける、3つの深刻なセキュリティ脆弱性を修正した。これらの脆弱性の悪用に成功した攻撃者は、リモートで任意のコード/コマンドを未認証で実行し、脆弱なデバイスでサービス拒否 (DoS) 状態を引き起こすことが可能になる。

Continue reading “Cisco VPN Router の3つの深刻な脆弱性 CVE-2022-20827 などが FIX”

SOHO Router を標的とする ZuoRAT マルウェア:米国/欧州の 80社をスティルス侵害

SOHO Routers in North America and Europe Targeted With ‘ZuoRAT’ Malware

2022/06/30 SecurityWeek — Lumen Technologies の脅威情報部門である Black Lotus Labs のセキュリティ研究者たちによると、ある SOHO (small office/home office) デバイスを標的とする RAT (remote access trojan) が、2年近く検出されなかった状況にあるという。この ZouRAT と名付けられたマルウェアは、リモートワーカーを標的とする巧妙なキャンペーンの一環として、北米/欧州に存在するデバイスに展開されており、国家に支援された脅威アクターによる犯行の可能性がある。研究者たちは、少なくとも 80 の事業体が影響を受けた可能性があると推定している。

Continue reading “SOHO Router を標的とする ZuoRAT マルウェア:米国/欧州の 80社をスティルス侵害”

EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中

New EnemyBot DDoS botnet recruits routers and IoTs into its army

2022/04/13 BleepingComputer — Mirai ベースの新しいボットネット・マルウェア EnemyBot は、モデム/ルーター/IoT デバイスの脆弱性を介して感染させたデバイスの勢力を拡大させ、それを操作する脅威アクターが Keksec であることが確認されている。この脅威グループは、クリプトマイニングと DDoS を専門としており、いずれも IoT デバイスに巣食い、そのコンピュータ資源を乗っ取ることが可能な、ボットネット・マルウェアにより支えられている。

Continue reading “EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中”

MicroTik ルーターの Botnet-as-a-Service 化:20万台以上が支配下に

Over 200,000 MicroTik Routers Worldwide Are Under the Control of Botnet Malware

2022/03/23 TheHackerNews — MikroTik の脆弱なルーターが大規模に悪用され、サイバー・セキュリティ研究者が近年で最大級の Botnet-as-a-Service の1つと呼ばれる物が形成されている。Avast が発表した新たな調査結果によると、新たな破壊型 Glupteba ボットネットと、TrickBot マルウェアを活用した、暗号通貨マイニング・キャンペーンの全てが、同一の Command and Control (C2) サーバーを使用して配布されたようだ。

Continue reading “MicroTik ルーターの Botnet-as-a-Service 化:20万台以上が支配下に”

Microsoft が Trickbot 対策オープンソース・ツールを公表: MikroTik ルーターをスキャン

Microsoft Releases Open Source Tool for Securing MikroTik Routers

2022/03/17 SecurityWeek — TrickBot は、2016年から出回っているマルウェアである。当初は金融データを盗むために設計されたバンキング・トロイの木馬だったが、現在では幅広い情報を狙うことができる、モジュール型の情報窃取マルウェアへと進化している。研究者の中には、このマルウェアは限界に達しており、利用可能な膨大な IoC により簡単に検出できるようになったことで、その開発チームはランサムウェア・グループの Conti により買収されたと考える者もいる。

Continue reading “Microsoft が Trickbot 対策オープンソース・ツールを公表: MikroTik ルーターをスキャン”

Cyclops Blink ボットネット:ロシアから ASUS ルーターを狙っている

New Variant of Russian Cyclops Blink Botnet Targeting ASUS Routers

2022/03/17 TheHackerNews — ASUS ルーターが、Cyclops Blink と呼ばれる新たなボットネットのターゲットとして浮上してきた。このマルウェアは、侵害したネットワークへのリモート・アクセスを取得する足がかりとして、WatchGuard ファイアウォール・アプライアンスを悪用したことが明らかになってから、約1ヶ月後のことである。

Trend Micro が発表した新しいレポートによると、このボットネットの主な目的は、価値の高いターゲットに対するさらなる攻撃のための、インフラを構築することである。ただし、感染した全てのホストについて調べたところ、重要な経済/政治/軍事などの組織は標的にしていないことが判明している。

Continue reading “Cyclops Blink ボットネット:ロシアから ASUS ルーターを狙っている”

TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる

TrickBot Malware Abusing MikroTik Routers as Proxies for Command-and-Control

2022/03/17 TheHackerNews — 水曜日に Microsoft は、マルウェア TrickBot について、これまで発見されていなかった、IoT デバイスを仲介した Command and Control (C2) サーバーとの、通信の確立に関する詳細な手法を発表した。Microsoft の Defender for IoT Research Team and Threat Intelligence Center (MSTIC) は、「TrickBotは、C2 サーバーのプロキシ・サーバーとして MikroTik ルーターを使用し、標準以外のポート経由でトラフィックをリダイレクトすることで、標準セキュリティ・システムによる検出から悪質な IP を回避させる、別の永続層を追加している」と述べている。

Continue reading “TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる”

Netgear Nighthawk R6700v3 ルーターに複数の脆弱性:現時点ではパッチは未適用?

Multiple flaws in Netgear Nighthawk R6700v3 router are still unpatched

2021/12/31 SecurityAffairs — Tenable の研究者たちが、人気の Netgear Nighthawk R6700v3 WiFi ルーターの、最新のファームウェアのバージョン 1.0.4.120 に存在する複数の脆弱性を発見した。攻撃者たちは、この脆弱性をトリガーとして、危殆化したデバイスを完全に制御できる。

Continue reading “Netgear Nighthawk R6700v3 ルーターに複数の脆弱性:現時点ではパッチは未適用?”

Dark Mirai ボットネット:TP-Link の脆弱性 CVE-2021-41653 を狙っている

Dark Mirai botnet targeting RCE on popular TP-Link router

2021/12/09 BleepingComputer — Dark Mirai (通称:MANGA) と呼ばれるボットネットが、2017年に発売されたホームルーター TP-Link TL-WR840N EU V5 に存在する、新たな脆弱性を悪用していることが確認された。この欠陥は、CVE-2021-41653 として追跡されており、認証されたユーザーがデバイス上でコマンドを実行するために使用する、脆弱な host 変数が原因となっている。

Continue reading “Dark Mirai ボットネット:TP-Link の脆弱性 CVE-2021-41653 を狙っている”

英国の Sky Router 600万台が 17ヶ月間も乗っ取り攻撃に晒されていた

Six million Sky routers exposed to takeover attacks for 17 months

2021/11/19 BleepingComputer — 英国 Sky Broadband のルーター約 600万台に、深刻な脆弱性の影響を受けているが、ユーザーへの修正プログラムの配布に 17ヶ月以上を要したという。公開された脆弱性は、DNS リバインディングの欠陥であり、ユーザーがデフォルトの管理者パスワードを変更していない場合、または、ブルートフォース攻撃で認証情報が流出した場合に、脅威アクターによる容易な悪用が可能になるという。

Continue reading “英国の Sky Router 600万台が 17ヶ月間も乗っ取り攻撃に晒されていた”

Pwn2Own Austin 2021 が終了:総額で1億円以上の報奨金が支払われた

White hat hackers earn over $1 Million at Pwn2Own Austin 2021

2021/11/06 SecurityAffairs — Trend Micro の Zero Day Initiative が主催するハッキングコンテスト Pwn2Own Austin 2021 が終了し、参加者は 61件のゼロデイ・エクスプロイトを成功させ、合計 $1,081,250 を獲得した。参加者は、Canon/Cisco/HP/NETGEAR/Samsung/Sonos/TP-Link/Western Digital などの、NAS デバイス/携帯電話/プリンター/ルーター/スピーカーなど侵害を証明していった。

Continue reading “Pwn2Own Austin 2021 が終了:総額で1億円以上の報奨金が支払われた”

Cisco Nexus 9000 の API エンドポイントを介した脆弱性が FIX

Cisco fixed a critical flaw in Cisco APIC for Nexus 9000 series switches

2021/08/26 SecurityAffairs — Cisco は、Nexus 9000 シリーズ・スイッチで使用されている、Application Policy Infrastructure Controller (APIC) インターフェイスに存在する、深刻な脆弱性 CVE-2021-1577 に対処するためのセキュリティ・アップデートを公開した。この脆弱性が悪用されると、脆弱なシステム上における任意のファイルを読み書きを許してしまう。この脆弱性は、不適切なアクセス制御によるもので、認証されていないリモートの攻撃者が悪用することで、アプライアンスへのファイルのアップロードが可能になる。

Continue reading “Cisco Nexus 9000 の API エンドポイントを介した脆弱性が FIX”