2023年8月28日、日本国内に設置されている通信機器(ルーター)のログイン画面が改ざんされたみられる事案が発生しました。通信機器の脆弱性を悪用した攻撃を受けたものとみられ、既に攻撃に必要な情報もSNS上で出回っており、開発元やセキュリティ機関が利用者に対し至急の対応を呼びかけています。ここでは関連する情報をまとめます。
改ざんされたままとみられる機器多数
- 改ざんされた画面は黒地の背景に変更され、赤文字で攻撃者による主張文とみられる文字列 *1が埋め込まれたものが確認されている。被害機器のログイン画面には「SkyBridge」と記載されており、これはセイコーソリューションズ製のLTE対応ルーターSkyBridgeとみられる。
- 同様の改ざん被害にあった端末の件数は約1500台と報じられている *2 他、Shodanで確認できるものは8月31日時点でも約400台。
既知の脆弱性悪用か
- SNS上では攻撃に関与したとみられるアカウントが今回の改ざんに悪用した手口に関連した情報を8月27日、28日と投稿していた。投稿内容が事実であれば、通信機器に予めハードコードされた情報で認証後、特定のプログラムに対しコマンド実行を仕掛けることで、改ざんを試みていたとみられる。
- 悪用した攻撃の手口について当該アカウントはゼロデイ(未知の脆弱性悪用)による攻撃と主張しているが、実際には2023年2月28日にセイコーソリューションズが公開していた既知の脆弱性を対応しないまま外部から接続可能な状態で稼働させていたものが被害にあったとみられる。同社では8月29日に2月に公表した脆弱性関連の情報を再掲した他、IPAも8月30日に当該脆弱性の注意喚起を発出し、「本脆弱性を悪用する攻撃がすでに確認されている」と記載している。
- セイコーソリューションズ 【再掲】SkyBridge MB-A100/110/200・MB-A130シリーズ・SkySpider MB-R210の脆弱性と対応について
- IPA セイコーソリューションズ製 SkyBridge MB-A100/A110/A200/A130 および SkySpider MB-R210 における脆弱性対策について(CVE-2023-22441 等)
影響を受ける機器・ファームウエアバージョン
- 改ざん被害にあっているのはSkyBridgeとみられるが、PoE対応WifiアクセスポイントのSkySpiderも同様に影響を受けることが公表されている。
- ファームウエアのバージョンは機器のWebUIログイン後のHome画面中にある「本体バージョン」が該当する。
| 対象機器 | 影響を受けるファームウエアバージョン | 修正ファームウエアバージョン |
|---|---|---|
| SkyBridge MB-A100/110 | Ver. 4.2.0 およびそれ以前のバージョン | Ver. 4.2.2以上 |
| SkyBridge MB-A200 | Ver. 01.00.05 およびそれ以前のバージョン | Ver. 01.00.07以上 |
| SkyBridge BASIC MB-A130 | Ver. 1.4.1 およびそれ以前のバージョン | Ver. 1.4.3以上 |
| SkySpider MB-R210 | Ver. 1.01.00 およびそれ以前のバージョン | 脆弱性対応のページに記載無し |
侵害前提の脆弱性対応を推奨
- 第三者が当該機器に対してアクセス可能な状態にはなかったなど、機器設置後より脆弱性悪用の被害に遭っていないことが断定できない限り、改ざん被害以前から悪用されていた可能性を考慮し侵害されている前提での対応を行うことが推奨される。
- 被害を受けていないことが断定できた場合においても、脆弱な初期パスワードの対応はファームウエア更新で修正されないため、セイコーソリューションズが推奨する内容に基づきパスワードの変更を合わせて行う。
- 攻撃手段はSNS上に投稿されており、今回の改ざんを行った攻撃者以外が既に試行可能な状況にあるため、現状被害にあっていない場合も今後同様、あるいはそれ以上の被害(IoT系マルウエアを蔵置され攻撃インフラに使用される、内部ネットワークへの初期侵入に使用されるなど)に遭う恐れがあることから至急対応する必要がある。
〇推奨対応策
- 対象機器の初期化(侵害済端末が通常の初期化手順で本当にクリーンな状態に戻るかは製造元へ確認要、初期化する際は保全の必要があるかも合わせて検討。なお改ざん画面中の注意書きで「通常通り使用できる」等と記載があるが鵜呑みにしない。)
- インターネット等外部公開の設定見直し(不要であれば非公開、必要であれば原則アクセス制限を行う、なお既定では外部アクセス無効。)
- ファームウエア更新およびパスワードの変更(初期パスワードから変更している場合も当該情報が窃取されている可能性を踏まえ変更する。)
- 当該機器が接続するネットワークにおいて不審なアクティビティ有無の確認
(参考)2023年2月28日に公表された脆弱性
- 影響を受けるファームウエアバージョンで該当する脆弱性は15件で、リモートから任意のOSコマンドが実行できる深刻な脆弱性も含まれていた。以下はJVNを参考に整理したもの。
| 修正された脆弱性CVE番号 | CVSS v3(基本値) | 脆弱性概要 | 想定脅威 |
|---|---|---|---|
| CVE-2022-36559 | 9.8 | コマンドインジェクション (CWE-77) | リモートから管理者権限で任意のOSコマンド実行 |
| CVE-2022-36556 | 8.8 | コマンドインジェクション (CWE-77) | 低権限ユーザーより管理者権限で任意のOSコマンド実行 |
| CVE-2023-22441 | 8.6 | 重要な機能に対する認証の欠如 (CWE-306) | リモートから設定情報窃取、改ざん、再起動 |
| CVE-2016-2183 | 7.5 | 認可されていない Actor への機微な情報の漏えい(CWE-200) | リモートからWebUIに送信した通信内容解読 |
| CVE-2023-23906 | 7.5 | 重要な機能に対する認証の欠如 (CWE-306) | リモートから認証無しに再起動等 |
| CVE-2023-25072 | 6.5 | 脆弱な資格情報の使用 (CWE-1391) | リモートからWebUIパスワードの解読 |
| CVE-2022-36558 | 6.2 | ハードコードされた認証情報の使用 (CWE-798) | ローカルの第三者から管理者権限でアクセス |
| CVE-2022-36560 | 6.2 | ハードコードされた認証情報の使用 (CWE-798) | ローカルの第三者から管理者権限でアクセス |
| CVE-2023-23578 | 5.3 | 不適切なアクセス制御 (CWE-284) | リモートからADBポート接続 |
| CVE-2023-25184 | 5.3 | 脆弱な資格情報の使用 (CWE-1391) | リモートからWebUIパスワードの解読 |
| CVE-2023-23901 | 4.8 | 不適切な証明書の信頼チェーンの追跡 (CWE-296) | リモートからWebUIに送信した通信内容窃取、改ざん |
| CVE-2023-25070 | 4.8 | 重要情報の平文送信 (CWE-319) | telnet有効時、リモートから管理者の通信窃取、改ざん |
| CVE-2022-36557 | 4.3 | アップロードするファイルの検証が不十分 (CWE-434) | 低権限ユーザーより管理者権限でファイルの上書き、任意コード実行 |
| CVE-2023-22361 | 4.3 | 不適切な権限管理 (CWE-269) | 低権限ユーザーより、WebUIパスワードを変更 |
| CVE-2023-24586 | 3.1 | 重要情報の平文保存 (CWE-312) | 低権限ユーザーより、APN資格情報窃取 |
更新履歴
- 2023年8月31日 PM 新規作成
*1:改ざんして埋め込まれた内容と関連して行われたSNS上での投稿内容が一致しておらずどのような主張をしたいのかはっきりしない。
*2:ハッキング、画面に処理水放出への抗議 ルーター1500台被害確認,朝日新聞,2023年8月30日
