新種のMirai

新しいタイプのMiraiが確認されています。
今回はWebSVNの利用されている環境に対して作用します。
古いWebSVNには、受信した検索文字列をエスケープしない問題があります。
このため、攻撃者はWebSVNの動作する機器で任意のコマンドを実行することができます。
古いといっても2021年5月に提供されたバージョンよりも古いバージョンのお話です。

この脆弱性を悪用すると、任意の一連のコマンドが実行できますので、なんでもありです。
例えば、こんなこともできます。

どこかからshell scriptをとってきて、それに実行権限を与えて、それを実行し、終わったらそれを削除しておく、
そんな内容です。
これは単に例です。
何でもできることは想像していただけたのではないでしょうか。

で、実際のInternet上で、この脆弱性を悪用した新しいタイプのMiraiの活動が観測されています。

前述の例の要領で、多くのファイルを持ってきて実行しています。
それらのファイルは実に12種もの異なるアーキテクチャ用のものとなっています。
MIPS、X86_64、ARM、POWERPC、SPARCなどです。
いかに広い範囲の環境がターゲットとなっているか、このアーキテクチャのラインアップを見るだけでも想像いただけるのではないでしょうか。

こういう方法ができますので、攻撃者は侵入先の環境がどのようなものであるのかを調査する必要がありません。
用意できたすべてのパターンを手当たり次第にやってみればよいのです。
簡単ですね。
攻撃者が楽できるということは、それだけ攻撃が広がりやすいということになります。

感染すると、その端末はMiraiボットネットの一部として、C2サーバからの依頼を受け付けることとなります。
これでその端末も攻撃者の一員です。
被害者端末は加害者端末へと変貌を遂げます。

この種の感染端末は、ポート666でC2への接続を試みます。
健全な環境ではすでにそうなっていると思いますが、外向けに接続可能な通信はきっちり管理して制限しておくことが必要です。

タイムリーなソフトウェアの更新や適切な機器の設定の維持など、やっているべき日々の運用を継続できていれば、防げる問題も多いのだと感じます。
継続は力なり、だと思いました。

参考記事(外部リンク):New Mirai Variant Targets WebSVN Command Injection
Vulnerability (CVE-2021-32305)

unit42.paloaltonetworks.com/cve-2021-32305-websvn/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。