出典:Norimages(Alamyストックフォト経由)
新たなボットネットが、パッチ適用が困難なエッジデバイスの既知の脆弱性を数十件悪用しています。
“RondoDox“は、ほとんどのボットネットとは本質的に異なると、トレンドマイクロの研究者は木曜日のレポートで述べています。他のボットネットが外科医のように特定の脆弱性を狙って巧妙に攻撃するのに対し、RondoDoxはランボーのように感染デバイスに突撃し、次々とエクスプロイトを試してどれが効くかを確認します。
その手法は乱暴ですが効果的です。なぜなら、標的となるデバイスは通常、監視も管理もされておらず、まさに狙い放題だからです。
エクスプロイト・ショットガン
トレンドマイクロによると、RondoDoxは5月ごろから活動を始めました。当初は、比較的人気のあるデジタルビデオレコーダー(DVR)とルーターに存在する、1件の重大なn-day脆弱性と1件の高深刻度n-day脆弱性を悪用していました。
夏の間に、このボットネットは大規模に拡大しました。現在では、MiraiやMorteといったIoTマルウェアファミリーのローダーとしても機能します。そして、世界中のさまざまなルーター、DVR、ネットワークビデオレコーダー(NVR)、Webサーバー、防犯カメラ(CCTV)システム、その他のネットワーク機器に存在する56件の脆弱性のいずれかを悪用できます。そのうち50件はコマンドインジェクションの脆弱性であり、デバイスを自由に操作できます。
RondoDoxがこれほど多くの脆弱性を同時に扱える理由は2つあります。まず、56件すべてが公開済みの脆弱性であり、そのうち38件はCVE番号が付与されています。さらに、このマルウェアは感染ごとに特別なカスタマイズを行うためにリソースを消費しません。トレンドマイクロのZero Day Initiative(ZDI)で脅威認識責任者を務めるダスティン・チャイルズ氏は、「壁に何かを投げつけて、どれがくっつくかを見るようなものです。ツールボックスを使って一斉に持っているものを全部ぶつけている感じです」と説明しています。
RondoDoxの拡散は、その戦術が示す通り、焦点が定まらず機会主義的で、広範な地理的地域に偏りなく広がっています。その影響の規模はまだ分かっていませんが、チャイルズ氏は「すべての証拠を考慮すると、かなり大規模である可能性が高い」と示唆しています。
なぜ家庭用デバイスのバグは修正されないのか
もしRondoDoxが企業用デバイスや個人用コンピューターにショットガン方式で攻撃を仕掛けた場合、これまで回避してきたような問題にほぼ確実に直面するでしょう。
このことは、RondoDoxが標的とする脆弱性のうち35~40件が家庭向けデバイスに見られる理由を説明しているかもしれません。チャイルズ氏は「これらのデバイスは、インターネットに接続されているだけでなく、基本的に管理されておらず、決してアップデートされません。ベンダーはパッチを提供していますが、消費者はパッチを適用する必要があることを理解していません。人々はデバイスを購入して電源を入れ、動作させ、その後は一切触れません」と説明します。
仕事や家族、他の優先事項がある人々がアップデートに注意を払ったり、すべてのルーターやカメラ、その他のデバイスをどうやって安全にするかを理解したりすることは期待できません。ベンダー側がOTA(無線経由)で強制的にセキュリティアップデートを行うことで補うこともできますが、その解決策は新たな問題を引き起こします。
「つまり、私たちは皆、セキュリティパッチが何かを壊した経験があります」とチャイルズ氏は指摘します。「消費者は、そうしたネガティブな経験があるため、セキュリティパッチを恐れています。ですから、特にこうしたハードウェアデバイスで自動アップデートを信頼できるレベルまでパッチの品質を高めることができれば、『自動アップデートでOK』と言えるはずです。」
しかし、たとえその理想的な世界でも、「もう一つの問題は消費者です。家族と一緒に番組を見ていると、突然ルーターが再起動してストリーミングサービスが止まり、イライラする。エンドユーザーに不便をかけずに自動アップデートを行うタイミングを見つけるのは難しい」と彼は説明します。
こうした要素などがパッチ適用プロセスを複雑にしているとチャイルズ氏は述べ、「しかし、実現は可能です。問題は、不便にならず、かつ品質を保つ方法を見つけることですが、それは非常に難しいのです」と語っています。
翻訳元: https://www.darkreading.com/endpoint-security/rondodox-botnet-exploit-edge-vulns
