コンテンツへスキップ
ホーム » 致命的なDrayTek脆弱性の公開1ヶ月後、90万台以上のルーターが脅威にさらされている

致命的なDrayTek脆弱性の公開1ヶ月後、90万台以上のルーターが脅威にさらされている

2024年10月2日、フォアスカウト(Forescout)のレポートを通じてDrayTekのルーターの脆弱性が公表されました。DrayTekのルーターは、パンデミックの最中にVPNになるコスパのいいルーターとして大人気でした。最初の脆弱性が発見された時、複数のグローバルメディアで70万件のDrayTekのルーターが脅威にさらされていることが確認されました。そして、1ヶ月が過ぎた現在、Criminal IPで確認した結果、外部に公開された90万台以上のDrayTekのルーターが発見されました。これは、知られている数値より20万件以上多い数値であり、未だに脆弱性にさらされているルーターが多数存在することが分かります。今回の記事では、DrayTekの脆弱性により発生しかねない攻撃と、脅威ハンティングツールで脆弱なDrayTekのルーターを検出する方法をご紹介します。

マルウェアの配布とボットネット活動に悪用されるDrayTek脆弱性

今回発見されたDrayTekの脆弱性には、CVSS最高点である10点を受けた脆弱性も含まれており、より問題になっています。CVE-2024-41592の場合、CVSS10点満点で深刻レベルの脆弱性に分類され、DrayTek Vigorルーターのウェブ制御インターフェース「DrayTek VigorConnect」で発見されました。

DrayTek脆弱性 : 最も深刻な脆弱性「CVE-2024-41592」が発見されたDrayTek VigorConnet、出所:DrayTekのホームページ
最も深刻な脆弱性「CVE-2024-41592」が発見されたDrayTek VigorConnet、出所:DrayTekのホームページ

CVE-2024-41592は、Web制御インターフェースを構成するWeb UIの「GetCGI( )」関数のバッファオーバーフローの脆弱性であり、クエリの文字列パラメータを処理する際にDoS攻撃を実行したり、一緒に発見されたDrayTekの脆弱性「CVE-2024-41585」と連携して、ホストオペレーティングシステムへのリモートルートアクセス権を得ることができます。

このような連携は、Vigor 3910 / 3912にのみ影響を及ぼし、攻撃者はネットワーク偵察を試み、マルウェアの配布やボットネット活動を開始することができます。

脅威ハンティングツールのCriminal IPで脆弱なDrayTekルーターを確認する

現在、11個の脆弱性に対するセキュリティパッチが適用された状況であり、すべてのルーターが今回の脆弱性に影響されるわけではありません。しかし、最近、外部に公開されたネットワーク機器など、外部の攻撃対象領域に対する攻撃の試みが増加しているため、ファームウェアのセキュリティパッチとアクセス 点検を通じて事前に予防することが重要です。

以下のデータは、脅威インテリジェンス基盤の脅威ハンティングツールであるCriminal IPのIT資産検索でDrayTekの機器が運営されているサーバーを検索した結果であり、2024年10月28日基準、949,055台のDrayTek機器が発見されました

Search Query: product:DrayTek

DrayTek脆弱性 : 脅威ハンティングツール「Criminal IP」のIT資産検索で確認した外部に公開したDrayTek機器の検索結果
脅威ハンティングツール「Criminal IP」のIT資産検索で確認した外部に公開したDrayTek機器の検索結果

世界的に拡散可能なDrayTek脆弱性、187ヶ国で使用されている

関連する国は合計187ヶ国が検出され、そのうち最も多く検出された国はイギリスで381,763件が検出されました。つまり、DrayTekの製品がイギリス内で広く使用されていることを意味し、次いでベトナム(150,288)、オランダ(84,214)、台湾(66,389)、オーストラリア(36,752)の順で検出されました。これは、DrayTekのルーターが世界中で使用されていることと、深刻度の高い脆弱性が公開された以上、すべての国に緊急のセキュリティパッチとアクセス点検が必要であることを示します。

Criminal IPの要素分析で確認した外部に公開されている各国のDrayTek機器の検索結果
Criminal IPの要素分析で確認した外部に公開されている各国のDrayTek機器の検索結果

DrayTek脆弱性にさらされているIPアドレスの脅威レポート

検索されたDrayTek Vigorのルーターを使用しているIPアドレスのうち、1つのIPアドレスのレポートを確認してみました。ルーターであることを知らせる「Switch」タグと「VPN」イシュータグを確認することができます。特に、当IPアドレスは、443ポートのVigor Router SSL証明書の有効期限が切れていることが確認され、適切に管理されていない脆弱な状態であることが分かります。

Criminal IPのIT資産検索で確認した脆弱なDrayTek機器のIPアドレスの脅威情報レポート
Criminal IPのIT資産検索で確認した脆弱なDrayTek機器のIPアドレスの脅威情報レポート

7171番のポートでは、脆弱性が発見されたDrayTekのVigorルーターのログインページが公開されており、DrayTekの脆弱性に影響されるモデルの場合、攻撃の対象になる可能性があります。

Criminal IPに検出された DrayTek脆弱性 に影響される可能性のあるIPアドレスレポート
Criminal IPに検出されたDrayTekの脆弱性に影響される可能性のあるIPアドレスレポート

脆弱性パッチは公開済み、実際のアップデート適用は未知数

現在、DrayTek Vigor3910の4.3.2.8バージョンと4.4.3.1バージョンの場合、深刻な脆弱性「CVE-2024-41592」を含む11種の脆弱性パッチの適用が完了されました。しかし、ネットワーク機器の場合、可視性が低いため、アップデートをすぐに反映できない場合があります。これを防止するために、定期的にネットワーク機器のセキュリティアップデートを確認し、脆弱な機器がある場合は交換を検討して備えることができます。

脆弱なDrayTekルーターを使用している場合、以下の対策でセキュリティを強化することができます。

  1. 最新のファームウェアが機器に配布されていることを確認し、アップデートを行います。
  2. 機器管理インターフェースで、ポートミラーリング、DNS設定、承認されたVPNのアクセス、その他の設定が変更されていないことを確認します。
  3. 不要な場合は、リモートアクセスを無効にします。
  4. 制限されたユーザーだけがアクセスできるようにアクセス制御リスト(ACL)を設定します。
  5. 2段階認証(2EA)の有効化により、さらにセキュリティを強化します。

関連してインターネットに公開されたQNAP NASを5万7千台検知をご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP(https://www.criminalip.io/ja

ご参照:

https://criminalipdotcodotjp.wpcomstaging.com/2023/12/05/%e5%85%ac%e9%96%8b%e3%81%95%e3%82%8c%e3%81%9fqnap/
タグ:

コメントを残す

Criminal IP(クリミナルアイピー)をもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む