2018.7.19にHuawei HG532ルーターの脆弱性をついて1日に18000台以上のルーターで構成されるボットネットが構築されてしまいました。
この攻撃は、通信ポート37215で脆弱性をスキャンしています。
たった1日で18000台以上のHuawei製ルーターに侵入してボットネットを構築した容易さが問題です。構築されたボットネットを使用して巨大なDDoS攻撃が可能になってしまいました。
日本国内においてNEC社のAtemルーターの脆弱性が発見され、メーカーが告知のページを掲載しました。
Atermシリーズに複数の脆弱性 掲載番号:NV18-011
対象製品 Aterm WG1200HP、Aterm W300P、Aterm HC100RC
脆弱性の内容
1.任意の OS コマンドを実行される
2.任意のコードを実行される
メーカーのファームウェアの更新指示に従って更新する必要があります。
Realtek製ルーターまたはRealtek製チップを使用したルーターにおいても通信ポート37215を使って脆弱性(ゼロディ、ハイプロファイル)をつかれる心配があります。また、ボットネットの制作者が通信ポート52869を使ってCVE-2014-8361を狙ったボットを計画しているとツイッターに記載しました。ルーターの製品仕様には使っているチップメーカー名の記載がない製品が多くてわかりづらい状態です。各メーカーの誠実な対応が必要です。
これらの最新の悪用技術はDDos攻撃などのサイト攻撃に使われるだけではなく、ランサムウェアの侵入経路にも利用されているものと推測されます。
「.bip」「.arrow」Dharmaランサムウェアの被害者の方々からの話の中でVPN接続でしか入れないサーバーに侵入されて暗号化されてしまったとの話がありました。例えVPNがかかっていたとしても侵入される脅威が現在あります。
ランサムウェア特設サイトはこちらです。