世界500,000台のルータに影響するVPNFile

Ciscoのセキュリティ研究者が、少なくとも54ヶ国500,000台のネットワークデバイスを標的とした、高度なマルウェアシステムであるVPNFilterについて説明したアドバイザリを公開した。

Ciscoによると、この脅威は少なくとも2016年から増加しており、その対応は極めて困難である。

ネットワーク機器におけるこのマルウェアの振る舞いで特に懸念されるのは、VPNFilterマルウェアのコンポーネントが、Webサイトの認証情報の盗聴やModbus SCADAプロトコルの監視を行うことのできる点です。そして最後に、このマルウェアは、感染したデバイスを使用不能にする破壊的機能を備えています。この機能は、個々の対象機器に対して一斉に起動することが可能であるため、世界中で数十万という被害者がインターネットアクセスを遮断される可能性があるのです。

攻撃に使用される問題点の詳細は不明だが、標的とされているデバイスの大部分は、ハッカーの仕事を簡単にするような公開済みのエクスプロイトやデフォルト認証情報を持っている、とCiscoは言う。VPNFilterが他のマルウェアと大きく異なるのは、デバイスを再起動しても持続可能な、ステージ1と呼ばれるコンポーネントを持つことだ。ステージ1の唯一の目的は、ステージ2マルウェアのデプロイメントを可能にすることであり、デプロイメントインフラストラクチャの変化に対応可能な高度なメカニズムを介して、ステージ2をデプロイするサーバのIPアドレス検出を可能にする。ステージ2マルウェアは、ファイルの収集、コマンドの実行、データの抽出､デバイス管理や自己破壊といった高度な機能を備えている。これらの機能は、ステージ2マルウェアのプラグインとして実行可能なステージ3マルウェアによってさらに強化される。ステージ1は再起動に対する耐性を備えるが、ステージ2と3はそうではない。

Ciscoによると、標的となるデバイスには、一般ユーザにはパッチの容易ではないエクスプロイトやデフォルト認証情報が存在するため、これらの脅威からの防御は極めて困難である。それでもCiscoの研究者たちは、VPNFilterがターゲットとするデバイスの既知の脆弱性に対して、100を越えるSnortシグネチャをリリースしている。感染の疑いのあるすべてのデバイスを工場出荷時の設定に戻し、ファームウェアをアップデートし、既定パスワードをすべて変更して、既知の脆弱性を修正するようにCiscoは推奨する。FBIが確認したようにルータを再起動し、ステージ2および3のマルウェアが再度デプロイされるまでは、それらが削除されるようにするべきだ。

Symantecは、ターゲットとなるデバイスを特定するために、VPNFIlterのQ&Aを提供している。

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: バージョン1016, 1036, および1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• QTSソフトウェアを実行している他のQNAP NASデバイス
• TP-Link R600VPN

それでもCiscoでは、攻撃によって課されるリスクを考慮して、VPNFilterによる影響の有無に関わらず、すべてのSOHOおよびNASデバイスにパッチを適用することを推奨している。

QNAPでは、すべてのQNAPデバイスを対象とするマルウェア削除方法を詳説したガイドを公開している。

Linksysは影響を受けるすべてのデバイスの詳細なリストの他、既知のすべてのエクスプロイトとファームウェアのアップデートを提供している。

Netgearも、最新のファームウェアのインストールに加えて、すべてのデバイスのリモート管理を無効にするように勧めている。

Mikro Tikは、RouterOSソフトウェアのアップグレードによってVPNFilterや他のサードパーティファイルを削除し、デバイスの脆弱性にパッチすることが可能だと述べている。