【ハニーポットの検証】ハニーポット設置105日目 ~ルータの改ざん & Cisco Smart install clientへの攻撃はあるのか!?~
最近、ルータを狙った攻撃や、 Cisco Smart install clientの脆弱性をついた攻撃など、非常に影響力の高そうな攻撃が立て続けに発生しています。
少し乗り遅れた感はありますが、こういった攻撃が来ていないか見るのが、ハニーポットの役割ではないか!?
ということで、この辺の状況を確認してみたいと思います。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
3日前に大量な攻撃があってからは、少し落ち着いている感じがありますね。
【全ハニーポット】
【Cowrieを除くハニーポット】
1週間の推移でみる限り、そこまで大きな件数ではありませんが、honeytrapに対して、短時間で大量の攻撃が届いています。これも、3日前同様に、ほとんどがアメリカからですね。
ルータの改ざん
piyokangoさんのpiyolog情報によりますと、日本国内で3月半ばからルータ内の設定情報が書き換えられるという事象が発生しているようです。
攻撃方法
現時点で、攻撃方法ははっきりしていないとのことですが、NTT東日本とNTT西日本からは、ルータのログインパスワードを初期値から変更していない場合に攻撃を受けていると指摘しています。
と、いうことは、ルータの初期パスワードに対してどれだけアクセスが試されているのかを調べると、傾向がつかめるかもしれませんね。
私が個人的に同じ攻撃をしようと思ったら、ターミナルソフトを使用してSSHかTelnetで接続して手動で変更します。攻撃者は、これらをツール化しているのではないでしょうか。
検証
NTT製のルータ
まずは、NTTのルータ「Netcommunity OG400X」シリーズです。こちらはインターネットで検索すると見つかる取扱説明書に初期ユーザ名と初期パスワードが掲載されていました。
4月1日~10日まで、同一のパスワードでログインが試行された回数は…。
1,550回です。
BUFFALO製のルータ
続いて、BUFFALOのルータ「WHR-1166DHP4」シリーズです。こちらも、インターネットで検索すると見つかる取扱説明書に初期ユーザ名と初期パスワードが記載されています。
4月1日~10日まで、同一のパスワードでログインが試行された回数は…。
2,198回です。
Logitec製ルータ
Logitec製ルータも取扱説明書にパスワードが載っています。初期パスワードはBUFFALO製のルータと同一のものでしたので、4月1日~10日まで、同一のパスワードでログインが試行された回数は…。
2,198回となります。
まとめ
初期パスワードでの運用だけが、今回のルータの一斉攻撃の原因ではないでしょうが、インターネットで少し検索すると見つかる初期パスワードのままルータを設置していると、外部からルータの設定情報を改ざんされる可能性が非常に高くなります。
少し面倒かもしれませんが、ルータ設定用のパスワードは必ず変更しておくべきでしょう。
Cisco Smart Install Client を悪用する攻撃
JPCERTコーディネーションセンターによると、2018年4月5日にCisco Smart Install Client を悪用した攻撃に関するブログを「Cisco Talos」が公開したとのことです。
Cisco Smart Install Client を悪用する攻撃に関する注意喚起
この攻撃の余波として、脆弱性が公開された日からPort 4786/tcpに対してポートスキャンがが増加したとのことです。
我が家の現状
我が家のハニーポットの状況はこのようになっています。
Port 4786/tcpに対するアクセスですが、多くても3月30日前後の20数件ですので、決して多い状況ではありません。
あくまで、Ciscoを狙った攻撃で、ランダムでポートスキャンをしているのは少ないとみるべきか、これから本格的な攻撃がくるとみるべきか、判断に悩みますね。
