【緊急】LinuxベースのルーターやNASに感染するマルウェア「VPNFilter」、54カ国50万台に感染か

1 :名無しさん@涙目です。:2018/05/24(木) 17:07:58.46 ID:BDlgN76P0.net ?PLT(12000)

米Ciscoのセキュリティ部門Talosは23日、モジュール化されたフレームワークを持つ高度なマルウェア「VPNFilter」が、54カ国で50万台以上のネットワーク機器などへ感染していることを報告。注意を喚起している。
VPNFilterは、モジュール化されたフレームワークにより、3つのステージへ拡張を行う高度なマルウェア。

ステージ1では、Linuxベースのファームウェアを実行しているデバイスへ感染し、いくつかのCPUアーキテクチャー向けにコンパイルを実行。
次に機器が再起動されても継続して活動できるよう、フラッシュメモリ内に自身を格納する。また、ステージ2へ移行可能なC2サーバーを探索する。
ステージ2では、作業環境を設定し、C2サーバーに接続。取得されたコマンドの実行やファイルのダウンロード、デバイスの管理などを行う。
また、ステージ2のプラグインとして機能するステージ3のモジュールには、プロトコルの監視を行うパケットスニッファー、Tor通信用モジュールなどが存在しているという。
なお、ステージ2のサンプルの多くに、デバイスを使用不能にする「kill」コマンドが存在。

米US-CERTによれば、これを完成デバイスで同時に実行することで、何十万人ものユーザーのインターネットアクセスを遮断する可能性がある。
一方、米Fortinetでは、VPNFilterについてボットネットであると指摘している。

マルウェア感染対象として現時点で報告されているのは、いずれもLinuxベースのファームウェアやOSで動作している
LinksysのWi-Fiルーター「E1200」「E2500」「WRVS4400N」、MikroTikのクラウドコアルーター「1016」「1036」「1072」、
NETGEARのWi-Fiルーター「R6400」「R7000」「R8000」「WNR1000」「WNR2000」、同ADSLモデム+ルーター「DGN2200」、
TP-LinkのVPNルーター「WNR2000」、QNAPのNAS「TS251」「TS439 Pro」。

続く
https://internet.watch.impress.co.jp/docs/news/1123623.html

28 :名無しさん@涙目です。:2018/05/24(木) 17:39:40.93 ID:0FUsG+qB0.net

デフォルトパスワードのまま使ってる馬鹿以外には関係ない話だって書いてあるだろ

50 :名無しさん@涙目です。:2018/05/25(金) 06:31:08.16 ID:oXqpqa/H0.net

以前使ってたNECのはNetBSDが入ってたな

7 :名無しさん@涙目です。:2018/05/24(木) 17:11:27.42 ID:DPAdTdM/0.net

>>3
やっぱBSDが最強だよな

48 :名無しさん@涙目です。:2018/05/25(金) 00:05:33.94 ID:xAQcphff0.net

SDNルータやばないですか

51 :名無しさん@涙目です。:2018/05/26(土) 23:35:46.82 ID:zHU46cTm0.net

え?NECのウリは独自OSとASICでしょ

25 ::2018/05/24(木) 17:29:40.30 ID:EEzGz39P0.net

30 :名無しさん@涙目です。:2018/05/24(木) 17:49:03.99 ID:S0A19GTt0.net

うちのルータやばい…
予備も欲しかったしYAMAHAのでも買ってくる

4 :名無しさん@涙目です。:2018/05/24(木) 17:10:08.74 ID:7zzg0BHx0.net

LinuxとMacはウイルス無いんじゃなかったのか!?

20 :名無しさん@涙目です。:2018/05/24(木) 17:23:30.92 ID:+pNOu12g0.net

12 :名無しさん@涙目です。:2018/05/24(木) 17:16:53.85 ID:6h4rZa6O0.net

独自OSのYAMAHAのワイ高みの見物

8 :マスエ(96歳) :2018/05/24(木) 17:11:29.85 ID:H/vY8Woa0.net

Synologyは大丈夫なのか

10 :名無しさん@涙目です。:2018/05/24(木) 17:15:12.85 ID:bv5b0veB0.net

想像遥かに超えて高性能すぎるわ、すげぇ所まで進んでたんだな

42 :名無しさん@涙目です。:2018/05/24(木) 20:06:51.29 ID:4PD6dGWE0.net

俺のアプリが売れないのは、コレのせいだったのか。

32 :名無しさん@涙目です。:2018/05/24(木) 17:53:34.24 ID:0HU/NSuK0.net

うちはアイ・オー・データのルータだから関係ないわw

49 :名無しさん@涙目です。:2018/05/25(金) 01:28:46.38 ID:CF45SfXS0.net

DNSキャッシュポイズニングでgoogleとかyahooのアドレス偽装して水飲み場にぶん投げるルーター感染型マルウェアとか出ないかな

34 :名無しさん@涙目です。:2018/05/24(木) 18:26:18.87 ID:11r3PPOB0.net

10年選手のルーターを引退させたい

33 :名無しさん@涙目です。:2018/05/24(木) 17:54:25.26 ID:2GcyD9D/0.net

>>3
PS4にBSD使われてるからハッカー共がBSDに目を向けてExploit探しまくってるからなんとも言えん

27 :名無しさん@涙目です。:2018/05/24(木) 17:38:10.83 ID:UJV2HR4+0.net

>>3
BSDしか分からない。Linuxはどれが良いのか分からなくて挫折した。

47 :名無しさん@涙目です。:2018/05/24(木) 23:31:43.89 ID:N5uLadn50.net

>>20
店員はこのオジさんがどんな人かは全く知らんのだろうな、

6 :名無しさん@涙目です。:2018/05/24(木) 17:10:38.52 ID:3ZGLA4Cl0.net

コンパイルするウィルスってすげーな。

36 :名無しさん@涙目です。:2018/05/24(木) 18:29:15.07 ID:CoEg4zhU0.net


昔持ってた

43 :名無しさん@涙目です。:2018/05/24(木) 21:42:11.21 ID:L6O4S43s0.net

vyosもまずいかな?

35 :名無しさん@涙目です。:2018/05/24(木) 18:28:34.91 ID:jXQyn23K0.net

VPN使ってなきゃセーブ

3 :名無しさん@涙目です。:2018/05/24(木) 17:09:49.99 ID:phHBasmj0.net

うちのはFreeBSDベースですし(震え声)

15 :名無しさん@涙目です。:2018/05/24(木) 17:20:07.59 ID:Yyk481i00.net

>>9
ハッキングコンテストじゃLinux>win>Macだろ

16 :名無しさん@涙目です。:2018/05/24(木) 17:21:37.43 ID:HNuXS7jo0.net

もしかして、ガラパゴスで良かったんじゃね

29 :名無しさん@涙目です。:2018/05/24(木) 17:42:28.82 ID:kt1aizSl0.net

こわかったら今すぐルーター設定初期化しろってことですかね

22 :名無しさん@涙目です。:2018/05/24(木) 17:27:55.06 ID:tAR+AErm0.net

LinuxとMacにはウイルスなんて無い!!

18 :名無しさん@涙目です。:2018/05/24(木) 17:22:34.63 ID:5IA/XvYx0.net

意外とバッキャローが対象になってなくて草

38 :名無しさん@涙目です。:2018/05/24(木) 18:52:57.68 ID:WhBTOB2p0.net

>>6
負け、一発だろ

39 :名無しさん@涙目です。:2018/05/24(木) 19:13:35.98 ID:0HU/NSuK0.net

>>34
俺のルータももうすぐ10周年だわ

19 :名無しさん@涙目です。:2018/05/24(木) 17:22:46.63 ID:fkt21F4K0.net

なるほどな

ココナッツサブレうまいよな

31 :名無しさん@涙目です。:2018/05/24(木) 17:50:03.33 ID:a4neZnyH0.net

まーたNSAか

24 :名無しさん@涙目です。:2018/05/24(木) 17:28:57.51 ID:SXRse/9M0.net

>>22
なわけない
知らない間に感染流出

52 :名無しさん@涙目です。:2018/05/27(日) 01:09:35.01 ID:L/eS3Hea0.net

>>13
ファームウェア更新するだけだろうけど、
そもそもデフォルトパスワードで、
NASでVPN貼ってまで使ってるのかな。
リモートデスクトップからNASはみるが。

41 :名無しさん@涙目です。:2018/05/24(木) 20:01:10.21 ID:vRmrkpKc0.net

バッファローの俺さん大勝利?

2 :名無しさん@涙目です。:2018/05/24(木) 17:08:25.87 ID:BDlgN76P0.net

>>1の続き

Cisco Talosでは5月上旬、TCPポート23/80/2000/8080番でスキャンを実行する感染デバイスを検出。
特にウクライナでは5月8日から感染デバイスの激増を観測。5月17には、さらに感染デバイスが増加したという。
また、ほかの地域とは別の第2ステージのC2インフラを共有していたとのこと。
なお、VPNFilterのコードは、ウクライナの産業用ネットワークなどを標的にしたマルウェア「BlackEnergy」と重複しており、
Talosでは、少なくとも2016年から密かに感染を拡大していたと分析している。
米Symantecでは感染経路について、デフォルト設定の管理者パスワードによる不正アクセスと指摘。
ほかのIoTマルウェアとは異なり、機器が再起動した後も、活動を継続することが可能である点を挙げ、
ハードウェアリセットにより機器を出荷時の状態にすることで、マルウェアの駆除が可能としている。

終わり

2 :名無しさん@涙目です。:2018/05/24(木) 17:08:25.87 ID:BDlgN76P0.net

>>1の続き

Cisco Talosでは5月上旬、TCPポート23/80/2000/8080番でスキャンを実行する感染デバイスを検出。
特にウクライナでは5月8日から感染デバイスの激増を観測。5月17には、さらに感染デバイスが増加したという。
また、ほかの地域とは別の第2ステージのC2インフラを共有していたとのこと。
なお、VPNFilterのコードは、ウクライナの産業用ネットワークなどを標的にしたマルウェア「BlackEnergy」と重複しており、
Talosでは、少なくとも2016年から密かに感染を拡大していたと分析している。
米Symantecでは感染経路について、デフォルト設定の管理者パスワードによる不正アクセスと指摘。
ほかのIoTマルウェアとは異なり、機器が再起動した後も、活動を継続することが可能である点を挙げ、
ハードウェアリセットにより機器を出荷時の状態にすることで、マルウェアの駆除が可能としている。

終わり

13 :名無しさん@涙目です。:2018/05/24(木) 17:18:34.81 ID:bv5b0veB0.net

>QNAPのNAS「TS251」「TS439 Pro」。

アイヤー、この辺は日本でもユーザー多いだろ

17 :名無しさん@涙目です。:2018/05/24(木) 17:21:50.01 ID:KSq5z9wv0.net

読む気にならん
簡単に説明してくれ
VPNとして公開してたらウィルス感染してる可能性があるってこと?

9 :名無しさん@涙目です。:2018/05/24(木) 17:14:13.70 ID:LsVtJK7E0.net

windowsよりLinuxの方がセキュリティが高いってのは幻想だからな
ただ単に今までシェアが低くて攻撃対象になってなかっただけ

26 :名無しさん@涙目です。:2018/05/24(木) 17:29:58.08 ID:+vePhc1o0.net

昔linksys使ってたな

14 :名無しさん@涙目です。:2018/05/24(木) 17:19:25.10 ID:EDqGUQap0.net

Windowsバカにしてた奴らが必死で言い訳

37 :名無しさん@涙目です。:2018/05/24(木) 18:48:50.72 ID:1dtYd5qX0.net

LynksysはADSL時代に使ってたな

44 :名無しさん@涙目です。:2018/05/24(木) 22:06:56.49 ID:JvDligkq0.net

さいきんブラウザーフリーズするのはこれのせい?

40 :名無しさん@涙目です。:2018/05/24(木) 19:20:20.47 ID:wKKAKULR0.net

モジュール化されたフレームワークを持つマルウェア…これもう何言ってるかわかんねえな

46 :名無しさん@涙目です。:2018/05/24(木) 23:13:21.89 ID:VOvupTmc0.net

つか、LinuxベースのルーターやNASに感染するんだろ?
PCのOSがWinかLinuxかは関係ないでしょ

11 :名無しさん@涙目です。:2018/05/24(木) 17:16:38.52 ID:kG8PLswx0.net

>>8
make build出来ない環境なら大丈夫じゃね

23 :名無しさん@涙目です。:2018/05/24(木) 17:28:57.29 ID:CCgh5IZa0.net

>>4
んなこたあたい

5 :名無しさん@涙目です。:2018/05/24(木) 17:10:29.81 ID:kG8PLswx0.net

FreeBSDベースは?
pfSenseアップデートしとくか

参考になったらSNSでシェアお願いします!

レスを投稿する(名前省略可)

この記事を読んだ方へのおすすめ

最近のコメント

コメントはまだありません
\当サイトイチオシ!/
ページTOPへ↑