ハニーポット観測日記「ZyXEL PK5001Z デバイスにおける証明書・パスワードの管理に関する脆弱性を狙ったTelnet不正ログイン攻撃」

2018年5月2日

ハニーポットCowrieを設置してから約1ヶ月ほどがたった2017年11月17日のことです.

2016年に登場してから未だに亜種が登場し続けているMiraiマルウェアの,新しい亜種の攻撃をCowrieで観測しました.

脆弱性の概要

今回,観測した新型のMirai亜種が利用する脆弱性は「ZyXEL PK5001Z デバイスにおける証明書・パスワードの管理に関する脆弱性(CVE-2016-10401)」です.

ZyXEL製の古いDSLモデムに存在する脆弱性で,Telnet認証情報の初期設定として「admin/CenturyL1nk」,「admin/QwestM0dem」がハードコーディングされています.このパスワードはアメリカのインターネット・サービス・プロバイダ(ISP)「CenturyLink」と「Qwest」からきています.この認証情報を悪用されると機器へのログインおよびroot権限への昇格,DDoS攻撃を実行するマルウェアのインストール等が可能になります.

観測したCowrieのログ

攻撃者によって入力されたコマンドの一例を以下に示します.

enable 
sh 
/bin/busybox 8G5MEMy4
su 
/bin/busybox cat /proc/mounts
cat /proc/mounts
/bin/busybox 8G5MEMy4
/bin/busybox echo -e '\x50\x6f\x72\x74/' > //.none
echo -e '\x50\x6f\x72\x74/'
/bin/busybox cat //.none
cat //.none
/bin/busybox rm //.none
rm //.none
/bin/busybox echo -e '\x50\x6f\x72\x74/sys' > /sys/.none
echo -e '\x50\x6f\x72\x74/sys'
/bin/busybox cat /sys/.none
cat /sys/.none
/bin/busybox rm /sys/.none
rm /sys/.none
【中略】
/bin/busybox 8G5MEMy4
rm //.t
rm //.sh
rm //.human
rm /sys/.t
rm /sys/.sh
rm /sys/.human
rm /run/lock/.t
rm /run/lock/.sh
rm /run/lock/.human
cd /run/lock
/bin/busybox cp /bin/echo con
cp /bin/echo con
> /run/lock/con
/bin/busybox chmod 777 /run/lock/con
chmod 777 /run/lock/con
/bin/busybox 8G5MEMy4
/bin/busybox cat /bin/echo
cat /bin/echo

ファイルの作成や表示,削除を繰り返しているようです.マルウェアのダウンロードや実行といったコマンドは実行されていません.断言はできませんが,攻撃者の意図としてはIoTデバイスなどの識別や,ハニーポットの検出といった調査を行っているのではないかと考えています.CowrieではMirai及びその亜種からと思われる通信を数多く観測しますが,希望通りの挙動を行わないためか,実際の攻撃を観測することが未だにできていません.

しかし,実際のDSLモデムの場合,Miraiマルウェアに感染してしまう可能性が非常に高いと考えられます.

おわりに

今回は特定のDSLモデムの脆弱性を狙ったTelnet不正ログイン攻撃を記事にしましたが,Miraiの不正ログイン攻撃はTelnetに対してブルートフォース攻撃や辞書攻撃を行うものも多く存在しています.デバイスやサーバの不要なTelnetポートを開かない等の対応策を講じることを強くおすすめします.

参考文献

http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-006833.html
http://blog.trendmicro.co.jp/archives/16536