「サイバー攻撃に悪用されるTP-Linkルータが増加、確認を」
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月19日、「TSUBAMEレポート Overflow(2024年4~6月) - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、「インターネット定点観測レポート」に記載していない海外に設置されたセンサーの観測動向の比較や活動についてまとめた2024年4月から6月までの「TSUBAMEレポート Overflow」を公開しました。
https://news.mynavi.jp/techplus/article/20240821-3008699/
出典:TECH+
<4~6月の観測動向>
ゴールデンウィークの少し前ごろからtelnetポート宛てパケットが多く観測されたそうです。送信元IPアドレスを調査すると、多くがTP-Linkの無線LANルータ「Archer AX3000」だったことが判明しています。これらルータからは工場出荷時のままアップデートしていないとみられるファームウェアバージョン1.0.0が確認されています(対策済みのファームウェアは公開済みです)。
<Telnetを探索>
送信元IPアドレスは特定のインターネットサービスプロバイダー(ISP: Internet Service Provider)に偏っており、6月末時点にて問題は解決していません。一般的に特定のISPユーザーに偏って長期間脆弱なルータが使用し続けられる状況は考え難いです。そのため、JPCERT/CCは大量購入した特定のユーザーまたは業者が何らかの目的で脆弱なファームウェアを使用し続けている可能性があると指摘しています。
期間中に受信したパケットの最多宛先ポートは国内外ともにTCPポート23(telnet)となりました。海外センサーにおいては、TCPポート80(HTTP)、TCPポート8728(MikroTikルータのAPI)、TCPポート22(SSH)なども多く受信しています。これらはネットワークスキャンを目的にしたものと推測されています。
参考
telnetとは?: インターネットやLANなどのネットワークにおいて、ネットワークに繋がれたコンピュータを遠隔操作するための仕組みです。 telnetクライアントを使ってサーバに接続することにより、そのサーバの目の前にいるのと同じように操作することができます。
<保守管理の留意点>
JPCERT/CCはネットワーク機器を運用している管理者に対し、定期的な保守および管理を求めています。特にインターネットに接続している機器は脅威アクターに狙われることが多く、社内ネットワークへの不正アクセスや踏み台に悪用される可能性があります。このような機器のソフトウェアは最新の状態を維持し、ログイン画面をインターネットに公開しないよう設定することが推奨されています。
昨日に引き続き、周辺機器のセキュリティに関してのニュースで、今回は無線ルーターです。IoT機器と同様に、踏み台として悪用される可能性が高いです。
PCのセキュリティアップデートには関心を持っていて、定期的なアップデートを行っている方は多くいらっしゃると思うのですが、周辺機器のアップデートを定期的に行っている方はまだ少ないかと思います。
定期的に周辺機器のソフトウェアアップデートをチェック・実施する習慣を作りましょう。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★