-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2014-0055 JPCERT/CC 2014-12-19 <<< JPCERT/CC Alert 2014-12-19 >>> TCP 8080番ポートへのスキャンの増加に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140055.html I. 概要 JPCERT/CC では、TCP 8080番ポートへのスキャンが 2014年12月5日ごろより 増加していることを、インターネット定点観測システム (以下、TSUBAME) *1 において確認しています。また、一部の TCP 8080番ポート宛の探索パケット に応答した場合、GNU bash の脆弱性を対象としたと推測される攻撃のリクエ ストが送られてくることを確認しています。 TCP 8080番ポートは、複数のソフトウエアで使用されており、QNAP 社の NAS 製品のログイン画面でも使用されています。QNAP 社からは NAS を対象と した攻撃が行われているとの情報が公開されており、今回確認したリクエスト は、当該製品を狙うものでした。 QNAP An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability http://www.qnap.com/i/jp/support/con_show.php?cid=74 TCP 8080番ポートへのスキャンを行ってきた一部の送信元 IP アドレスにおい て、当該製品のログイン画面と推測される応答を確認しています。 このため、当該製品が稼働するサーバが攻撃を受けて、第三者への攻撃の踏み 台とされたために、TCP 8080番ポートへのスキャンが増加したと考えています。 12月19日現在、TCP 8080番ポートを対象としたスキャンが継続していることか ら、当該製品を使用している場合は、「IV.対策」を実施してください。 なお、JPCERT/CC では、観測したスキャンの送信元のうち攻撃の踏み台となっ ていると判断した IP アドレスのネットワーク管理者に連絡を行っています。 *1 JPCERT/CC が運用する、アジア・太平洋インターネット定点観測システム https://www.jpcert.or.jp/tsubame/ II. 攻撃の流れ(一例) 1) 攻撃者は TCP 8080番ポート宛の探索パケットを送信します 2) 探索パケットに応答した IP アドレスに対して、GNU bash の脆弱性を 使用するリクエストを送信します 3) 脆弱なファームウエアを使用していた場合、当該製品上でコマンドが実 行され、インターネット上からスクリプトをダウンロードし実行します 4) その結果、次のことが当該製品上で行われます - ユーザの追加 - バックドアの設置 - GNU bash の脆弱性を修正 - ランダムなネットワークに対して TCP 8080番ポート宛の探索パケット を送信 - 応答した場合は、該当 IP アドレスに対し Gnu bash の脆弱性を使 用するリクエストを送信 ※ 攻撃が成功することで、当該製品に保存されている情報が窃取されたり、 当該製品経由で他のネットワーク接続されている端末や機器に対し攻撃 を行ったりする可能性があります。 III. 観測状況 TSUBAME において観測した TCP 8080番ポートへのスキャン状況については、 以下を参照してください。 TSUBAME TCP 8080番ポート指定グラフ (2014/12/01-2014/12/19) https://www.jpcert.or.jp/at/2014/at140055-8080tcp.png IV. 対策 QNAP 社の情報を元にファームウェアのバージョンを確認の上、対策済み ファームウェアを適用してください。なお、 Qfix 1.0.2 build 1008 が適用 されていない Turbo NAS series 4.1.1 build 1003 より前のバージョンを使 用していた場合は、次の情報をもとに攻撃の影響を確認することをお勧めし ます。 An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability http://www.qnap.com/i/jp/support/con_show.php?cid=74 なお、攻撃の影響が確認された場合は、次の点も併せて確認することを お勧めします。 - 対策後、当該製品から不審な通信が発生していないこと - 当該製品を起点にネットワーク接続されていた他の端末や機器に対する 影響 V. 参考情報 QNAP Protect Your Turbo NAS from Remote Attackers - Bash (Shellshock) Vulnerabilities http://www.qnap.com/i/en/support/con_show.php?cid=61 QNAP An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability http://www.qnap.com/i/jp/support/con_show.php?cid=74 @police Bashの脆弱性を標的としたアクセスの観測について(第3報) http://www.npa.go.jp/cyberpolice/detect/pdf/20141209-2.pdf JVN#55667175 QNAP QTS における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN55667175/ JPCERT/CC GNU bash の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140037.html JPCERT/CC インターネット定点観測システム (TSUBAME) https://www.jpcert.or.jp/tsubame/ 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUk8B1AAoJEDF9l6Rp7OBICqUH/RNp8g3+xeexmlyhsdtVKTBj d89sykszhK7K8I995YhBWHPaj/xP05PnNn2ZgUsk0vXs7LJ1psySBZQn8Cp7rLc/ f7kx2PTanHHg8+9oMfifCYBgaTcyTzS4Tu6GqU1TQKnMiCetKvIsnZJXgrdFUzsE vM3rfgUCw1rg7hq9s9yIIumZ4tQxycF/RPi35SHzEEMylhBWYjDLQSGd9uX2hrNh MCHfRw6YUfi4Bks13O0g+N/C4BQPc8oWefvqZGLQYSafoxGRGnz5rfrVOTSyKOpA /5sRUeHmbMqMrDRIaJf+ic5Y2tUIwD3crsYKdL2ZDpxC4NSLP31GcfcD6/9FcJQ= =WEd3 -----END PGP SIGNATURE-----