JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2014 > TCP 8080番ポートへのスキャンの増加に関する注意喚起

最終更新: 2014-12-19

TCP 8080番ポートへのスキャンの増加に関する注意喚起


各位
                                                   JPCERT-AT-2014-0055
                                                             JPCERT/CC
                                                            2014-12-19

                  <<< JPCERT/CC Alert 2014-12-19 >>>

          TCP 8080番ポートへのスキャンの増加に関する注意喚起

           https://www.jpcert.or.jp/at/2014/at140055.html

I. 概要

  JPCERT/CC では、TCP 8080番ポートへのスキャンが 2014年12月5日ごろより
増加していることを、インターネット定点観測システム (以下、TSUBAME) *1
において確認しています。また、一部の TCP 8080番ポート宛の探索パケット
に応答した場合、GNU bash の脆弱性を対象としたと推測される攻撃のリクエ
ストが送られてくることを確認しています。

  TCP 8080番ポートは、複数のソフトウエアで使用されており、QNAP 社の
NAS 製品のログイン画面でも使用されています。QNAP 社からは NAS を対象と
した攻撃が行われているとの情報が公開されており、今回確認したリクエスト
は、当該製品を狙うものでした。

   QNAP
   An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability
   http://www.qnap.com/i/jp/support/con_show.php?cid=74

TCP 8080番ポートへのスキャンを行ってきた一部の送信元 IP アドレスにおい
て、当該製品のログイン画面と推測される応答を確認しています。

このため、当該製品が稼働するサーバが攻撃を受けて、第三者への攻撃の踏み
台とされたために、TCP 8080番ポートへのスキャンが増加したと考えています。
12月19日現在、TCP 8080番ポートを対象としたスキャンが継続していることか
ら、当該製品を使用している場合は、「IV.対策」を実施してください。

なお、JPCERT/CC では、観測したスキャンの送信元のうち攻撃の踏み台となっ
ていると判断した IP アドレスのネットワーク管理者に連絡を行っています。

 *1 JPCERT/CC が運用する、アジア・太平洋インターネット定点観測システム
    https://www.jpcert.or.jp/tsubame/


II. 攻撃の流れ(一例)

  1) 攻撃者は TCP 8080番ポート宛の探索パケットを送信します
  2) 探索パケットに応答した IP アドレスに対して、GNU bash の脆弱性を
     使用するリクエストを送信します
  3) 脆弱なファームウエアを使用していた場合、当該製品上でコマンドが実
     行され、インターネット上からスクリプトをダウンロードし実行します
  4) その結果、次のことが当該製品上で行われます
     - ユーザの追加
     - バックドアの設置
     - GNU bash の脆弱性を修正
     - ランダムなネットワークに対して TCP 8080番ポート宛の探索パケット
       を送信
       - 応答した場合は、該当 IP アドレスに対し Gnu bash の脆弱性を使
         用するリクエストを送信

  ※ 攻撃が成功することで、当該製品に保存されている情報が窃取されたり、
     当該製品経由で他のネットワーク接続されている端末や機器に対し攻撃
     を行ったりする可能性があります。


III. 観測状況

  TSUBAME において観測した TCP 8080番ポートへのスキャン状況については、
以下を参照してください。

    TSUBAME TCP 8080番ポート指定グラフ (2014/12/01-2014/12/19)
    /at/2014/at140055-8080tcp.png


IV. 対策

  QNAP 社の情報を元にファームウェアのバージョンを確認の上、対策済み
ファームウェアを適用してください。なお、 Qfix 1.0.2 build 1008 が適用
されていない Turbo NAS series 4.1.1 build 1003 より前のバージョンを使
用していた場合は、次の情報をもとに攻撃の影響を確認することをお勧めし
ます。

    An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability
    http://www.qnap.com/i/jp/support/con_show.php?cid=74

  なお、攻撃の影響が確認された場合は、次の点も併せて確認することを
お勧めします。

  - 対策後、当該製品から不審な通信が発生していないこと
  - 当該製品を起点にネットワーク接続されていた他の端末や機器に対する
    影響


V. 参考情報

    QNAP
    Protect Your Turbo NAS from Remote Attackers - Bash (Shellshock) Vulnerabilities
    http://www.qnap.com/i/en/support/con_show.php?cid=61

    QNAP
    An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability
    http://www.qnap.com/i/jp/support/con_show.php?cid=74

    @police
    Bashの脆弱性を標的としたアクセスの観測について(第3報)
    http://www.npa.go.jp/cyberpolice/detect/pdf/20141209-2.pdf

    JVN#55667175
    QNAP QTS における OS コマンドインジェクションの脆弱性
    https://jvn.jp/jp/JVN55667175/

    JPCERT/CC
    GNU bash の脆弱性に関する注意喚起
    https://www.jpcert.or.jp/at/2014/at140037.html

    JPCERT/CC
    インターネット定点観測システム (TSUBAME)
    https://www.jpcert.or.jp/tsubame/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english