MikroTikはネットワーク機器のメーカーです。
低価格なのにもかかわらず、高機能な製品を市場に多数投入しています。
このMikroTikの製品を悪用した脅威活動が多数観測されています。
- 更新されないfirmware
MikroTik製品は汎用処理機構を持つ部品を搭載しています。
MikroTik製品の機能性の高さは、機能を汎用処理機構に搭載したソフトウェアで構成することで実現しています。
ソフトウェアにはバグがつきものですので、メーカーは適宜問題を確認したものについては更新されたソフトウェアをリリースしていきます。
利用者は、これをタイムリーに適用することで安全性をある程度保つことができます。
しかし、MikroTik製品に限ったことではありませんが、この製品の利用者の少なくない設置物は購入当初のままのfirmwareの状態で運用されています。
更新すべきことを知らないのか、知っているのに面倒に思って実施しないのか、理由は定かではありませんが、実際に脆弱なままで動作しているものがあります。
そして、そういった機器が公開ネットワークに接続されている場合、脅威アクターに悪用されることになります。
悪用されていたと考えられるデバイスの数は、13,000台にのぼります。 - あまいDNS設定
DNSのデータはさまざまなアプリケーションにいろいろな方法で利用されます。
その中の一つにSPFレコードがあります。
これはメールシステムを構成する中でセキュリティを実現する機構として利用されるレコードです。
このレコードで表現されている範囲については、その対象のドメインからのメールを送信する許可があることを示すものとして利用されます。
本来であれば、必要最小限に設定されるべきものなのですが、この部分がどこからでもそのドメインからということになっているメールを送信できる状態に設定されているドメインが多数あります。
Infoblox社の調査では、ある時点でそういった状態のドメインは20,000個に達していたようです。
この2つの要素が掛け合わされて、大きなBotネットを構成しています。
脅威アクターに乗っ取られたMikroTikデバイスには、攻撃者のツールが仕込まれます。
仕込まれるツールははSOCKS4プロキシです。
乗っ取られたMikroTikデバイスの数そのものも多いわけですが、その多数のデバイスがSOCKS4プロキシになることで、もっと多数の侵害された機器が攻撃に悪用できる基盤となってしまいました。
脅威アクターの操作出来うる攻撃基盤の台数規模は、数万台もしくは数十万台になることも考えられます。
この大きなBotネットを悪用し、脅威アクターはDDoS攻撃を開始し、フィッシングメールを送信し、データを盗み出します。
そして、その悪意のある通信の通信元情報を隠ぺいする機能として、SOCKS4プロキシが利用されます。
わたしたちができることはなんでしょう。
いつもの対策です。
使用している機器のfirmwareの更新、管理者アカウントの認証情報の管理(特にデフォルトユーザは重要です)、管理接続可能範囲の設定を適切に絞る、などです。
被害者になることを避けるだけでなく、管理の放棄で加害者に加担することになってしまうことを回避しましょう。
One Mikro Typo: How a simple DNS misconfiguration enables malware delivery by a Russian botnet
https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/
| この記事をシェア |
|
|---|
