GPON Home Router の脆弱性(CVE-2018-10561,CVE-2018-10562) 脆弱性Lab

2018年6月18日

1. はじめに

 本コラムについては、CSIRT担当様やサーバ担当様向けの情報提供として掲載しております。

 2018年3月から4月にかけて、ルータのDNS設定を書き換えることで、ルータ配下のAndroidデバイスを不正サイトへ誘導し、不正アプリを強制的にダウンロードさせる攻撃が大きな話題になりました。ルータメーカーから、デフォルトパスワードからの変更や修正プログラムの適用などを対策として公表されております。しかし、どのようにしてルータのDNSを書き換えられたか、明確な攻撃手法は公開されていません。

 一方、今後、類似事象に繋がる恐れのある別のルータの脆弱性情報があります。2018年4月30日に公開された、 GPON(※) Home Router の2件の脆弱性(CVE-2018-10561, CVE-2018-10562)は、認証を回避して機器へ侵入し、遠隔での任意コード実行が可能となる脆弱性です。

本コラムでは、2018年5月~6月に観測された、該当の脆弱性を標的としていると考えられる通信を分析していきます。

GPON:光通信規格(Gigabit Passive Optical Network)

2. 脆弱性情報

 GPON Home Routerにおいて、以下の脆弱性が存在します。

  • 製品
    DASAN Zhone Solutions製 GPON Home Router
  • 脆弱性
    • 1)CVE-2018-10561:認証回避の脆弱性
    • 2)CVE-2018-10562:任意のコード実行の脆弱性

    3. 攻撃の観測状況

     2018年5月8日~6月3日の間で、GPON Home Router の脆弱性(CVE-2018-10561, CVE-2018-10562)を標的としていると考えられる通信をハニーポットにて観測しております。

    GPON Home Router の脆弱性を標的とした攻撃件数

    <GPON Home Router の脆弱性を標的とした攻撃件数>

    4. 攻撃の観測通信

     該当の脆弱性が存在した場合、外部に対して不正な通信を発生させると分析しております。不正な接続先については、Webコンテンツが存在しておらず、マルウェアなどの不正プログラムの存在は確認できませんでした。攻撃者が、検証コードを実行させ、インターネット上において、脆弱なGPON Home RouterのIPアドレスなどを収集している可能性が考えられます。

    • 不審な接続先:51[.]254[.]219[.]134
      攻撃の観測通信1
    • 不審な接続先:149[.]28[.]96[.]126

      攻撃の観測通信2

    • 不審な接続先:128[.]199[.]251[.]119

      攻撃の観測通信3

    5. まとめ

     脆弱性の影響をうけるGPON Home Router を利用している場合、任意のコードを実行される可能性があります。ハニーポットの観測から該当の攻撃は、「6. Indicators of Compromise(IOC)」に記載の外部IPアドレスに対して通信を発生させ、脆弱性の有無の調査を実施していると分析しております。攻撃者側にこのような調査を実施された場合、脆弱性の存在するGPON Home Router を把握されている可能性があり、今後、影響のある攻撃が発生する恐れは十分に想定できます。 また、本脆弱性を悪用することで、GPON Home Router 配下の端末を不正なアクセス先に誘導されるような2次被害が発生する可能性も想定されます。 メーカが公開している修正プログラムを早急に適用する必要があります。

     日本において利用されていることが稀なルータと推測しておりますが、修正プログラムの適用と合わせて、以下を確認いただくことを推奨します。

    • ルータから 「6. Indicators of Compromise(IOC)」に記載のIPアドレスなどへの不審なアクセスが無いこと
    • ルータのパスワードがメーカのデフォルトパスワードから変更されており、推測困難な パスワードであること
    • ルータの管理コンソールへのアクセス制御が、信頼のおける送信元のみであること

    6. Indicators of Compromise(IOC)

    • 不正な接続先
     51[.]254[.]219[.]134
     149[.]28[.]96[.]126
     128[.]199[.]251[.]119

    7. 参考情報

    以上

    著者プロフィール

    西井 晃

    2012年、KCCS入社
    データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
    2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。KCCS-CSIRTの活動に参加し、世界平和を目指す。

    掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

    ページトップへ