脅威アクターは複数のD-Linkルーターモデルに存在するコマンドインジェクション脆弱性の悪用を継続しており、DNS設定を乗っ取って世界中の家庭内ネットワークを侵害しています。
セキュリティ研究者は、2016年から2019年にかけて継続する攻撃を文書化しており、米国外に展開されている未パッチのコンシューマー向けデバイスを狙った持続的な悪用キャンペーンの証拠が確認されています。
これらの連携した攻撃は、D-LinkのDSLルーターにおけるコマンドインジェクション脆弱性を悪用してDNS設定を改ざんし、疑いを持たないユーザーを悪意のあるウェブサイトへリダイレクトします。
家庭内ネットワークは、侵害されたインフラに接続されたWindowsおよびAndroidデバイスの双方を狙う、より広範な攻撃の意図せぬ侵入口となります。
セキュリティ企業Proofpointは侵害されたルーターを起点とするマルバタイジング(悪意のある広告)キャンペーンを追跡し、Bad Packetsの独立研究者Troy Murschは、コンシューマー向けデバイスを特に標的とした持続的なDNSハイジャック作戦を記録しました。
最も憂慮すべき点として、脅威アクターはGoogle Cloud Platformのインフラを武器化し、脆弱なD-Linkハードウェアに対する攻撃を調整・拡大しています。
この脆弱性の複雑さは、地域別に提供されるファームウェア配布に起因します。
影響を受けるデバイスには、D-Linkの標準サポートポータルでは入手できないローカライズされたファームウェア版が導入されており、多くの機器はカスタム設定のままインターネットサービスプロバイダから直接配布されていました。
この断片化によりパッチ適用の取り組みが複雑化し、悪用される期間が長期化しています。
ユーザーは直ちにいくつかの防御策を講じるべきです。ISPに連絡し、ルーター向けに利用可能なファームウェア更新があるかを依頼してください。
ルーターのWebインターフェース( http://192.168.0.1)にアクセスして工場出荷時リセットを実行し、不正アクセスを防ぐために強力で固有の管理者パスワードを設定してください。
ルーターのWebインターフェースで信頼できるDNSサーバーを手動で設定し、乗っ取られている可能性のある既定値を置き換えてください。
Google DNS(8.8.8.8または8.8.4.4)とCloudflare DNS(1.1.1.1)は、信頼性が高く信用できる代替手段です。
D-Linkは、地域非互換のファームウェアをインストールするとデバイスが恒久的に使用不能になったり、追加のセキュリティリスクを招いたりする可能性があると強く強調しています。
影響を受けるユーザーは、地域をまたいだファームウェアのインストールを試みるのではなく、適切なパッチについて各地域のD-Linkサポート窓口に相談すべきです。
この脆弱性は、コンシューマー向けルーターのセキュリティにおける継続的なリスクを浮き彫りにしています。断片化したパッチ適用、旧式のハードウェア、地域ごとの展開差異が、悪用の機会を生み出しています。
組織と家庭ユーザーの双方は、自身のネットワークインフラを監査し、基本的なセキュリティ実践としてファームウェア更新を優先すべきです。
翻訳元: https://cyberpress.org/d-link-router-command-injection-vulnerability-actively-exploited-in-the-wild/