Head Topics

数百万台のモデムを自由に書き換え可能な脆弱性を見つけるまでの経緯をセキュリティエンジニアが報告

United States News News

数百万台のモデムを自由に書き換え可能な脆弱性を見つけるまでの経緯をセキュリティエンジニアが報告
United States Latest News,United States Headlines
  • 📰 gigazine
  • ⏱ Reading Time:
  • 66 sec. here
  • 3 min. at publisher
  • 📊 Quality Score:
  • News: 30%
  • Publisher: 51%

自身のモデムがハッキングされたことを契機に、モデムを運用しているプロバイダのシステムに脆弱(ぜいじゃく)性があることを突き止めたセキュリティエンジニアのサム・カリー氏が、「どのように突き止めたのか」についてブログに投稿しました。

当該IPアドレスからの悪意のある活動の記録は3年以上続いており、ISG LatamのほかにもAdidasを対象にした攻撃や、カリー氏が受けているモデムのハッキングなどさまざまな攻撃が同じIPから行われていました。攻撃者の意図は不明なものの、カリー氏はモデムの電源を切り、モデムの所有者であるプロバイダへ交換するよう要求しました。 カリー氏は古いモデムを手元に残して攻撃者の活動を研究したかったものの、プロバイダ側の規則は「新しいモデムを渡す際は古いモデムを返却する」となっており、古いモデムは回収されてしまいました。新しいモデムをセットアップするとトラフィックのリプレイが停止したため、カリー氏は「問題は修正された」として攻撃の研究を辞めました。 2024年初頭にカリー氏はセキュリティエンジニアの友人と話す機会があり、その際にモデムの事件について話すとセキュリティエンジニアの友人たちの興味を強くひきました。カリー氏よりもずっと多くのマルウェアについて調査してきた友人たちはカリー氏がメールサーバーだと思っていたドメインに注目しました。 友人たちはメールサーバーらしきドメインの形式が他のマルウェアで使用されているドメインの形式と同じであり、攻撃者がマルウェアに指示を出すC&Cサーバーのアドレスをローテーションするためのものであると推測。下図のように、マルウェアはドメインを解決してC&CサーバーのIPアドレスを入手し、攻撃者から指示を受け取るというわけです。 カリー氏はかつてのモデムに対して攻撃者がどのように侵入したのかを調べることにしました。Googleで検索してもモデムに脆弱性は発見されておらず、もし脆弱性があったとすると攻撃者は数年にわたって隠し通すことに成功していることになります。 しばらくしてカリー氏は別の友人の引っ越しを手伝った際に、カリー氏と同じプロバイダのモデムを移行する作業を手伝いました。モデムを光ファイバーに接続した後、プロバイダのサポートに連絡するとWi-Fiパスワードの変更や接続されているデバイスの表示などを含め、デバイス設定をプロバイダがリモートで操作できることが判明。 プロバイダのリモートサポートは2004年に実装されたTR-069というプロトコルによって実現されていました。TR-069を使用するとプロバイダはポート7547を使用して自社ネットワーク内のモデムを管理できるようになります。プロトコル自体もセキュリティ研究の対象とされることがありましたが、カリー氏はプロバイダのサポートがモデムを管理するために使用していたツールに興味を持ちました。 カリー氏はまずCox Businessポータルを調査しました。Cox Businessポータルにはデバイスをリモート管理したり、ファイアウォールルールを設定したり、ネットワークトラフィックを監視したりするための機能が存在しています。カリー氏はアカウントを持っておらずログインすることはできませんが、ページのJavaScriptを解析することでAPIエンドポイントを見つけ出しました。.

当該IPアドレスからの悪意のある活動の記録は3年以上続いており、ISG LatamのほかにもAdidasを対象にした攻撃や、カリー氏が受けているモデムのハッキングなどさまざまな攻撃が同じIPから行われていました。攻撃者の意図は不明なものの、カリー氏はモデムの電源を切り、モデムの所有者であるプロバイダへ交換するよう要求しました。 カリー氏は古いモデムを手元に残して攻撃者の活動を研究したかったものの、プロバイダ側の規則は「新しいモデムを渡す際は古いモデムを返却する」となっており、古いモデムは回収されてしまいました。新しいモデムをセットアップするとトラフィックのリプレイが停止したため、カリー氏は「問題は修正された」として攻撃の研究を辞めました。 2024年初頭にカリー氏はセキュリティエンジニアの友人と話す機会があり、その際にモデムの事件について話すとセキュリティエンジニアの友人たちの興味を強くひきました。カリー氏よりもずっと多くのマルウェアについて調査してきた友人たちはカリー氏がメールサーバーだと思っていたドメインに注目しました。 友人たちはメールサーバーらしきドメインの形式が他のマルウェアで使用されているドメインの形式と同じであり、攻撃者がマルウェアに指示を出すC&Cサーバーのアドレスをローテーションするためのものであると推測。下図のように、マルウェアはドメインを解決してC&CサーバーのIPアドレスを入手し、攻撃者から指示を受け取るというわけです。 カリー氏はかつてのモデムに対して攻撃者がどのように侵入したのかを調べることにしました。Googleで検索してもモデムに脆弱性は発見されておらず、もし脆弱性があったとすると攻撃者は数年にわたって隠し通すことに成功していることになります。 しばらくしてカリー氏は別の友人の引っ越しを手伝った際に、カリー氏と同じプロバイダのモデムを移行する作業を手伝いました。モデムを光ファイバーに接続した後、プロバイダのサポートに連絡するとWi-Fiパスワードの変更や接続されているデバイスの表示などを含め、デバイス設定をプロバイダがリモートで操作できることが判明。 プロバイダのリモートサポートは2004年に実装されたTR-069というプロトコルによって実現されていました。TR-069を使用するとプロバイダはポート7547を使用して自社ネットワーク内のモデムを管理できるようになります。プロトコル自体もセキュリティ研究の対象とされることがありましたが、カリー氏はプロバイダのサポートがモデムを管理するために使用していたツールに興味を持ちました。 カリー氏はまずCox Businessポータルを調査しました。Cox Businessポータルにはデバイスをリモート管理したり、ファイアウォールルールを設定したり、ネットワークトラフィックを監視したりするための機能が存在しています。カリー氏はアカウントを持っておらずログインすることはできませんが、ページのJavaScriptを解析することでAPIエンドポイントを見つけ出しました。

We have summarized this news so that you can read it quickly. If you are interested in the news, you can read the full text here. Read more:

gigazine /  🏆 80. in JP

 

United States Latest News, United States Headlines

Similar News:You can also read news stories similar to this one that we have collected from other news sources.

新しい脆弱性がCVEで開示されると攻撃準備として15分以内にスキャンされ数時間以内に実際の悪用が試みられる新しい脆弱性がCVEで開示されると攻撃準備として15分以内にスキャンされ数時間以内に実際の悪用が試みられる一般的に情報セキュリティの脆弱(ぜいじゃく)性が公開される際には、内容識別のために全世界共通の番号「CVE ID」が各脆弱性ごとに割り当てられます。こうして公開された脆弱性について、ハッカーは少なくとも15分以内にスキャンを行い、パッチ未適用のエンドポイントを探し出していることが調査により明らかになりました。
Read more »

中国の回復、引き続き脆弱-製造業も不動産も弱く追加緩和策必要か中国の回復、引き続き脆弱-製造業も不動産も弱く追加緩和策必要か中国の製造業活動が7月に予想外の縮小に転じ、不動産販売の減少も続き、散発的な新型コロナウイルス流行の中での景気回復の脆弱(ぜいじゃく)さが浮き彫りとなっている。
Read more »



Render Time: 2026-04-01 23:24:25