www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(42)「D-Link 製品のSOAPActionに対するコマンド実行の試み」

どうも。ハニーポッターの森久です。

本ブログをお読みのみなさんは、自宅でもインターネットを利用されていると思います。きっと ISP と契約して、部屋のどこかにルータを置いて、ラップトップやスマホなど接続しているのではないでしょうか。
さてラップトップ上の OS の Windows や Mac OS X、スマホだったら iPhone の iOS、Android OS などは、頻繁に更新して最新の状態に保つ方が大半だと思います。
それに対し、ルータのファームウェアは更新した経験はあるでしょうか。一番最初にルータの管理画面にログインして PPPoE の設定や無線 LAN の設定はしても、その後、ログインすることは自宅サーバを運用している人以外、皆無のような気がします。
かくいう私も、頻繁にログインすることはないです。

さて今回は、そんな放置され気味なルータに存在する脆弱性についてです。
WOWHoneypot で、D-Link 社のルータにおける SOAPAction に対するコマンド実行の試み(CVE-2015-2051)を検知したので紹介します。

 

攻撃ログ

※一部の情報を意図的に伏せています。

 

POST リクエストで、アクセスしている先は「HNAP1」ですね。この単語だけでググると、さまざまな脆弱性に関する情報が出てきます。
このログの中で最も注目すべきは、SOAPAction ヘッダです。このヘッダに指定されている値を見ると、「/GetDeviceSettings/」に続く文字列が明らかに OS コマンドです。
そのため、この攻撃は OS コマンドインジェクションといえます。
OS コマンドは;(セミコロン)で実行するコマンドを区切ります。つまり cd コマンドから始まり、wget コマンド、chmod コマンド、ntpd コマンド、rm コマンドの順番に実行するように記述されています。

さて、これらのコマンドの中で重要なポイントは、やはり wget でダウンロードし、実行されるプログラムが何かということです。
さっそく VirusTotal で調査してみましょう。

 

VirusTotalでの調査結果

 

検出結果を見ると、どうやら DDoS をおこなうボットのようですね。一部、Mirai と検出しているアンチウイルスソフトもあります。
なおダウンロードするファイル名が ntpd となっているのは、おそらく時刻同期をおこなう NTP(Network Time Protocol)のプログラムを装い、管理者に錯誤させることが目的でしょう。

また今回、攻撃対象がルータということもあり、仮に攻撃を受けた場合であっても、なかなかその事実に気付くことは難しいのではないかと思います。
冒頭で述べた通り、ルータにログインすることは稀でしょうし、ルータにアンチウイルスソフトをインストールすることもないと思うので、気付くきっかけがないのです。
2015年に公開された脆弱性にも関わらず、現在でも攻撃がくるということは、攻撃者にとっては、一度でも攻撃が成功してしまえば、長期に渡って悪用し続けることが可能でうま味があるからだと推測します。

 

まとめ

今回は、D-Link 社のルータ製品における SOAPAction ヘッダに対する OS コマンドインジェクション攻撃を紹介しました。攻撃の影響を受けた場合、DDoS 攻撃をおこなうボットに感染する可能性があります。

JVN iPedia のページによると、CVE-2015-2051の脆弱性において、影響を受けるバージョンは下記の通りです。

  • DIR-645 ファームウェア 1.04b12 およびそれ以前
  • DIR-645 Ax

もし該当の製品を使っていて、年単位で管理画面にログインしていないようであれば、現在の状態を確認することを推奨します。
さらに動作に不審な点があれば、設定のバックアップを取って、工場出荷状態に初期化、設定リストア、ファームウェアのバージョンアップといったような手順で、対応を実施することを推奨します。

該当製品ではなくとも、1年に1回ぐらいはルータの管理画面にログインして、ファームウェアの状態の確認&更新をした方がいいかもしれませんね。

 

IoC

不審なファイルのダウンロード元:137.74.255.248
ファイル名:ntpd
SHA256:39c044214aa03025181617860eb8c43f91291d9abcefbe670f23a2ee22a6a6d2

 


告知

第3回 ハニーポッター技術交流会を開催します。
大変ありがたいことに、一般参加枠はキャンセル待ちの状態です。
しかしながら、ハニーポットを運用中の方や、運用経験をお持ちの方のためのハニーポッター枠は現時点(1月30日)では空きがあります。
また LT 発表枠も早々に4枠中2枠が埋まってしまったので、発表をどうしようか悩んでいる方がいましたら、お早めに募集ページからお申し込みください。

なお LT 発表申込後は、メール(morihisa.sec(@)gmail.com)でもツイッター(@morihi_soc)でも何でもいいので、私まで発表タイトルと発表時間(15-30分以内)をご連絡ください。

 

勉強会詳細

開催日時:2018年2月24日(土) 午前10:00-12:00 (受付は9:40から)
開催場所:東京都中央区日本橋兜町12-7 兜町第3ビル NATULUCK茅場町新館 2階大会議室
募集ページ:第3回 ハニーポッター技術交流会 https://hanipo-tech.connpass.com/event/78002/

Written by morihisa

1月 30th, 2018 at 7:00 pm