出典: GreyNoise Intelligence
アジア太平洋地域の多くのデバイスやコンシューマーグレードのルーターは、最近の重大な脆弱性やプロトコル全体の一般的なセキュリティの欠如にもかかわらず、安全でないTelnetプロトコルを引き続き使用しており、時代遅れのテクノロジーが組織にもたらすリスクを浮き彫りにしています。
この問題は、インターネットバックボーンプロバイダーによる最近のTelnetトラフィック削減にもかかわらず続いています。脅威インテリジェンス企業であるGreyNoiseが提供したデータによると、1月14日の3時間で、世界中のTelnetトラフィックは1時間あたり約65,000セッションから11,000セッションへと減少し、平均トラフィックが83%減少しました。しかし、アジア太平洋地域の企業では最も減少幅が小さく、アジアのネットワークプロバイダーがリスクの高いプロトコルのブロックに失敗した、または意図的にブロックしなかったことを示唆している、とGreyNoiseのデータサイエンス担当副社長であるBob Rudis氏は述べています。
ウクライナやカナダなど地域外の一部の国がすべてのTelnetトラフィックをブロックした一方で、アジア太平洋地域の政府は一貫性なくトラフィックをフィルタリングしました。Dark Readingと共有されたGreyNoiseのデータによると、台湾はTelnetセッションの77%をブロックし、インドは70%を停止し、日本は65%を削減し、中国は59%をフィルタリングしました。
「ほとんどの企業はTelnetを整理していますが、中小企業やコンシューマーネットワークには多くのTelnetがあります。カメラのようなIoTです」と彼は言います。「そこには非常に多くのものがあり、誰もそれを変更しておらず、誰も触れていません。誰もそれを交換するためにお金を払わないでしょう。なぜなら、それは正常に機能しているからです。」
その結果、Shadowserver Foundation(脅威インテリジェンスデータを提供する非営利団体)のデータによると、アジアはTelnetを公開しているすべてのインターネットアドレスの約半分を占め続けています。同社は、アクセス可能なTelnetデバイスを持つアクティブなインターネットアドレスが世界中に839,000あると推定しています。その約半分(410,000)がアジア太平洋地域にあります。
Telnetはアジアにとって引き続き重大な問題
アジア太平洋地域のアドレスから発信されるTelnetスキャントラフィックの半分以上が中国のIPアドレス空間から発信されており、さらに14%がインドから、12%が韓国からです。トラフィックのほとんど(55%)はログイン試行であり、約10%はモノのインターネット(IoT)デバイスを標的とした一般的なパスワード試行です。
最近のGNU InetUtils telnetdサーバーにおける認証バイパスの欠陥は、最近既知の悪用される脆弱性(KEV)カタログに追加されましたが、組織のネットワークへの影響は少なく、むしろ組織のマインドセットへの影響が大きかったとGreyNoiseのRudis氏は述べています。彼の理論では、1月20日の公開開示前にある形の脆弱性が知られていたため、一部の主要ISPがプロトコルをブロックしたとされています。
出典: Shadowserver Foundationのオリジナルチャート、著者によるテキスト追加
Shadowserver Foundationのデータは最近変更されましたが、Telnetトラフィックの変化によるものではありません。代わりに、組織がアクティビティのより良い全体像を得ようとした試みが検出の増加につながったと、Shadowserver FoundationのCEOであるPiotr Kijewski氏は述べています。Shadowserverは検出を拡大して一般的でないTelnetポートを含めたため、1月20日頃に検出が急増しましたが、その後フィルタリングを改善したため、減少したと彼は言います。
時間の経過とともに、Telnetデバイスの量はゆっくりと減少しています。6か月前の約130万から、最近の減少前の約120万へと減少していますが、それはもっと速く起こる必要があると彼は言います。
「Telnetは不要な攻撃面であり、長い間、他の形式のリモート端末アクセス、特にSSHに置き換えられてきました」とKijewski氏は述べ、シンプルに付け加えました。「Telnetは完全に消えるべきです。」
意図しないAIの影響
全体として、ネットワークオペレーターの反応は、ネットワークのクリーンアップが地域の脅威状況に劇的な影響を与えることができることを示しています。
アジア全域、そして世界中でのTelnetトラフィックの減少は、おそらく組織がインターネットにオープンなTelnetポートを公開しているデバイスを探し出した結果ではなく、AI企業の積極的なウェブサイトスクレイピングによって引き起こされた圧倒的なトラフィックへの反応である、とGreyNoiseのRudis氏は述べています。多くの場合、AIスキャンアクティビティはルーターの洪水を引き起こし、ネットワークインフラストラクチャやインターネットバックボーンプロバイダーに、ウェブスクレイピングボットやその他の自動化されたトラフィックのソースを識別してブロックする迅速な方法を見つけることを強いています、と彼は言います。
「ISPやホスティング、ルーターを運営している人々…彼らのネットワークはただ攻撃を受けて混雑していました」ので、世界中のさまざまな地域がいくつかの調整を行いました。「彼らはさまざまなネットワークシナリオに対してルーターが何をするかを変更しました」とRudis氏は言います。「[一定時間]にこれだけのトラフィックを行うと、私たちはあなたの接続を終了し、少なくとも3〜4時間、リセットを送信します。」
ウェブスクレイピングトラフィックは、Miraiが実行するようなオープンなTelnetポートに対するボットネット攻撃洪水と同様の影響を与える可能性があるため、積極的なAIウェブスクレイピングボットのブロックは、攻撃者を減速させるという意図しない利点をもたらしたとRudis氏は言います。インフラストラクチャ企業は脆弱なデバイスを探し出してパッチを当てているわけではありませんが、トラフィックのスパイクをブロックすることで、ある程度問題を緩和していると彼は言います。
「どこかで過剰反応があるだろうとは思っていましたが、『どこでもTelnetインバウンドをブロックしよう』というものになるとは思っていませんでした」と彼は言います。「しかし、それには感謝しています。なぜなら、これは多くのことを防ぐことになるからです。これは以前にはクリーンアップできなかったものをクリーンアップすることになります。」
翻訳元: https://www.darkreading.com/threat-intelligence/asia-fumbles-telnet-threat-traffic
