92,000台のD-Linkデバイス、重大なセキュリティ脆弱性に露呈

Last Updated on 2024-04-09 16:53 by TaTsu

セキュリティ研究者によると、92,000台のインターネットに露出したD-Linkのネットワーク接続ストレージ（NAS）デバイスが、2つのセキュリティ欠陥の影響を受けており、マルウェア攻撃のリスクにさらされている。これらの脆弱性はCVE-2024-3272（CVSSスコア：9.8）とCVE-2024-3273（CVSSスコア：7.3）として追跡され、サポート終了（EoL）状態にあるD-Link製品に影響を与える。D-Linkはパッチの提供を計画しておらず、顧客に対してこれらのデバイスの交換を勧めている。

脆弱性は、nas_sharing.cgi URIに存在し、ハードコーディングされた資格情報によるバックドアと、systemパラメータを介したコマンドインジェクションの脆弱性が主な原因である。これらの脆弱性の成功した悪用により、攻撃者は影響を受けたD-Link NASデバイス上で任意のコマンドを実行し、機密情報にアクセスしたり、システム構成を変更したり、サービス拒否（DoS）状態を引き起こす可能性がある。影響を受けるモデルにはDNS-320L、DNS-325、DNS-327L、DNS-340Lが含まれる。

脅威インテリジェンス会社GreyNoiseは、攻撃者がこれらの脆弱性を悪用してMiraiボットネットマルウェアを配布し、D-Linkデバイスを遠隔操作する試みを観察した。修正策がないため、Shadowserver Foundationは、これらのデバイスをオフラインにするか、リモートアクセスをファイアウォールで保護することを推奨している。

Palo Alto NetworksのUnit 42が明らかにしたところによると、ネットワークデバイスは金銭的動機や国家支援の攻撃者にとって一般的な標的となっており、攻撃者はターゲットネットワークの脆弱性を特定するためにマルウェアによるスキャン攻撃へと移行している。

【編集者追記】2つの脆弱性

1. CVE-2024-3272：特定のURI(nas_sharing.cgi)に存在するハードコーディングされた資格情報によるバックドアの問題です。
2. CVE-2024-3273：systemパラメータを介したコマンドインジェクションの脆弱性。引数を未知の値で改ざんすることで、特権昇格につながる可能性があります。

【編集者追記】Miraiボットネットマルウェアとは

Miraiボットネットマルウェアは、主にIoT機器を標的とするマルウェアの一種です。その特徴は以下の通りです。

1. Miraiに感染したIoT機器は、攻撃者から遠隔操作が可能な「ボット」となり、大規模なボットネットを形成します。
2. 感染したIoT機器から他の脆弱なIoT機器にアクセスし、デフォルトのIDとパスワードを用いて感染を広げていきます。
3. ボットネットを構成するIoT機器は、C&Cサーバからの指示で一斉にDDoS攻撃を仕掛けるなど、サイバー攻撃に利用されています。
4. 2016年9月に発見され、同年10月には大規模なDDoS攻撃に使用されました。
5. ソースコードが公開されたことで多くの亜種が作られ、現在も活発に活動しています。
6. 主な感染経路は、脆弱性を突いた不正アクセスや、メールの添付ファイル、不正なWebサイトなどです。
7. 対策としては、IoT機器のデフォルトIDとパスワードの変更、ファームウェアの更新、不要なポートの閉鎖などが有効です。

D-Link社のレガシープロダクト一覧

【ニュース解説】

インターネットに接続された92,000台のD-Link製ネットワーク接続ストレージ（NAS）デバイスが、2つの重大なセキュリティ脆弱性の影響を受けており、マルウェア攻撃に対して脆弱であることが明らかになりました。これらの脆弱性は、CVE-2024-3272（CVSSスコア：9.8）とCVE-2024-3273（CVSSスコア：7.3）として識別され、特にサポート終了（EoL）状態のD-Link製品に影響を及ぼしています。D-Linkからは、これらの問題に対するパッチの提供は予定されておらず、ユーザーにはデバイスの交換が推奨されています。

これらの脆弱性は、特定のURI（nas_sharing.cgi）に存在し、ハードコーディングされた資格情報を利用したバックドアと、systemパラメータを介したコマンドインジェクションの2つの問題が主な原因です。攻撃者がこれらの脆弱性を悪用することに成功すれば、影響を受けたD-Link NASデバイス上で任意のコマンドを実行し、機密情報へのアクセス、システム構成の変更、サービス拒否（DoS）状態の引き起こしといった行動が可能になります。

脅威インテリジェンス会社GreyNoiseによると、攻撃者はこれらの脆弱性を悪用してMiraiボットネットマルウェアを配布し、D-Linkデバイスを遠隔操作する試みを行っています。修正策が提供されない中、Shadowserver Foundationは、これらのデバイスをオフラインにするか、リモートアクセスをファイアウォールで保護することを推奨しています。

この事態は、ネットワークデバイスが金銭的動機や国家支援の攻撃者にとって一般的な標的となっている現状を浮き彫りにしています。特に、Palo Alto NetworksのUnit 42が指摘するように、攻撃者はマルウェアを利用してターゲットネットワークの脆弱性を特定するスキャン攻撃へと戦術を移行しています。

このニュースは、既存のネットワークデバイスのセキュリティ維持がいかに重要であるかを示しています。特に、サポートが終了した製品を使用している場合、そのリスクはさらに高まります。ユーザーは、デバイスのセキュリティ状態を常に確認し、可能であれば最新の製品に更新することが推奨されます。また、企業や組織は、セキュリティ対策の一環として、エンドポイントの保護を強化し、不正アクセスやマルウェアの侵入を防ぐための体制を整える必要があります。このような脆弱性の発見と公表は、セキュリティコミュニティにとって重要な情報であり、迅速な対応と予防措置の実施を促します。

from Critical Flaws Leave 92,000 D-Link NAS Devices Vulnerable to Malware Attacks.