ジュニパーネットワークスは、デフォルトの認証情報を使用してセッション・スマート・ルーターをインターネット上でスキャンするMiraiマルウェア攻撃について顧客に警告した。
ジュニパーネットワークスの説明によると、このマルウェアは、デフォルトのログイン認証情報を使用してデバイスをスキャンし、アクセス後にリモートでコマンドを実行することで、さまざまな悪意のある活動を可能にする。
このキャンペーンは12月11日に初めて観測され、感染したルーターが顧客のネットワーク上で発見された。その後、このMiraiベースのボットネットの運営者は、侵害されたデバイスを使用して分散型サービス拒否(DDoS)攻撃を開始しました。
「2024年12月11日(水)、複数の顧客から、セッション・スマート・ネットワーク(SSN)プラットフォーム上での不審な挙動が報告された。
「推奨されるベストプラクティスに従わず、デフォルトのパスワードを使用している顧客は、デフォルトのSSRパスワードがウイルスデータベースに追加されているため、危険にさらされていると考えられます。
ジュニパーはまた、管理者がMiraiマルウェアの潜在的な活動を検出するためにネットワークやデバイスで探すべき侵害の指標を共有しています:
- 一般的なレイヤー4ポート(23、2323、80、8080など)上のデバイスをスキャンする、
- ブルートフォース攻撃を示唆するSSHサービスへのログイン試行失敗
- デバイスがDDoS攻撃に加担していることを示唆するアウトバウンド・トラフィック量の突然の急増、
- デバイスがリブートしたり、異常な動作をしたりする、
- 既知の悪意のあるIPアドレスからのSSH接続。
同社は顧客に対し、すべてのセッション・スマート・ルーターのデフォルト認証情報を変更し、すべてのデバイスで一意の強力なパスワードを使用するなど、デバイスが推奨されるユーザー名とパスワードのポリシーに従っていることを直ちに確認するよう助言した。
また、管理者には、ファームウェアを常に更新し、アクセスログに異常がないか確認し、不審な動きが検出された場合に自動的に作動するアラートを設定し、侵入検知システムを導入してネットワークアクティビティを監視し、ファイアウォールを使用してインターネットに露出したデバイスへの不正アクセスをブロックするよう推奨している。
また、ジュニパーでは、これらの攻撃ですでに感染しているルーターは、オンラインに戻す前に再イメージングする必要があると警告しています。
「システムが感染していることが判明した場合、脅威を阻止する唯一の確実な方法は、システムを再イメージ化することである。
昨年8月、脅威監視サービスShadowServerは、watchTowr Labsの概念実証(PoC)エクスプロイトを使用して、ジュニパーのEXスイッチとSRXファイアウォールに影響を与える重要なリモートコード実行エクスプロイトチェーンを標的とした攻撃が進行中であることを警告した。
その後、ジュニパーは1月にも同社のファイアウォールとスイッチに重大なRCEバグがあることを警告し、セッション・スマート・ルーター(SSR)、セッション・スマート・コンダクター、WANアシュアランス・ルーター製品に存在する最大重大度の認証バイパスの欠陥に対するサイクル外のパッチをリリースしています。
更新 12月20日 03:17 EST:記事とタイトルを修正し、攻撃をスキャン活動と表現しました。
Comments