JPCERT コーディネーションセンター

TCP 8080番ポートへのスキャンの増加に関する注意喚起

各位

JPCERT-AT-2014-0055
JPCERT/CC
2014-12-19

JPCERT/CC Alert 2014-12-19


TCP 8080番ポートへのスキャンの増加に関する注意喚起

https://www.jpcert.or.jp/at/2014/at140055.html

I. 概要

JPCERT/CC では、TCP 8080番ポートへのスキャンが 2014年12月5日ごろより増加していることを、インターネット定点観測システム (以下、TSUBAME) *1において確認しています。また、一部の TCP 8080番ポート宛の探索パケットに応答した場合、GNU bash の脆弱性を対象としたと推測される攻撃のリクエストが送られてくることを確認しています。

TCP 8080番ポートは、複数のソフトウエアで使用されており、QNAP 社のNAS 製品のログイン画面でも使用されています。QNAP 社からは NAS を対象とした攻撃が行われているとの情報が公開されており、今回確認したリクエストは、当該製品を狙うものでした。

QNAP
An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability
http://www.qnap.com/i/jp/support/con_show.php?cid=74

TCP 8080番ポートへのスキャンを行ってきた一部の送信元 IP アドレスにおいて、当該製品のログイン画面と推測される応答を確認しています。

このため、当該製品が稼働するサーバが攻撃を受けて、第三者への攻撃の踏み台とされたために、TCP 8080番ポートへのスキャンが増加したと考えています。12月19日現在、TCP 8080番ポートを対象としたスキャンが継続していることから、当該製品を使用している場合は、「IV.対策」を実施してください。

なお、JPCERT/CC では、観測したスキャンの送信元のうち攻撃の踏み台となっていると判断した IP アドレスのネットワーク管理者に連絡を行っています。

*1 JPCERT/CC が運用する、アジア・太平洋インターネット定点観測システム
https://www.jpcert.or.jp/tsubame/


II. 攻撃の流れ(一例)

1) 攻撃者は TCP 8080番ポート宛の探索パケットを送信します
2) 探索パケットに応答した IP アドレスに対して、GNU bash の脆弱性を
使用するリクエストを送信します
3) 脆弱なファームウエアを使用していた場合、当該製品上でコマンドが実
行され、インターネット上からスクリプトをダウンロードし実行します
4) その結果、次のことが当該製品上で行われます
- ユーザの追加
- バックドアの設置
- GNU bash の脆弱性を修正
- ランダムなネットワークに対して TCP 8080番ポート宛の探索パケット
を送信
- 応答した場合は、該当 IP アドレスに対し Gnu bash の脆弱性を使
用するリクエストを送信

※ 攻撃が成功することで、当該製品に保存されている情報が窃取されたり、
当該製品経由で他のネットワーク接続されている端末や機器に対し攻撃
を行ったりする可能性があります。


III. 観測状況

TSUBAME において観測した TCP 8080番ポートへのスキャン状況については、以下を参照してください。

TSUBAME TCP 8080番ポート指定グラフ (2014/12/01-2014/12/19)
/at/2014/at140055-8080tcp.png


IV. 対策

QNAP 社の情報を元にファームウェアのバージョンを確認の上、対策済みファームウェアを適用してください。なお、 Qfix 1.0.2 build 1008 が適用されていない Turbo NAS series 4.1.1 build 1003 より前のバージョンを使用していた場合は、次の情報をもとに攻撃の影響を確認することをお勧めします。

An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability
http://www.qnap.com/i/jp/support/con_show.php?cid=74

なお、攻撃の影響が確認された場合は、次の点も併せて確認することをお勧めします。

- 対策後、当該製品から不審な通信が発生していないこと
- 当該製品を起点にネットワーク接続されていた他の端末や機器に対する
影響


V. 参考情報

QNAP
Protect Your Turbo NAS from Remote Attackers - Bash (Shellshock) Vulnerabilities
http://www.qnap.com/i/en/support/con_show.php?cid=61

QNAP
An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability
http://www.qnap.com/i/jp/support/con_show.php?cid=74

@police
Bashの脆弱性を標的としたアクセスの観測について(第3報)
http://www.npa.go.jp/cyberpolice/detect/pdf/20141209-2.pdf

JVN#55667175
QNAP QTS における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN55667175/

JPCERT/CC
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html

JPCERT/CC
インターネット定点観測システム (TSUBAME)
https://www.jpcert.or.jp/tsubame/


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter