記事本文(要約)
脅威アクターがGeoVisionのサポート切れのIoTデバイスのセキュリティ欠陥を悪用し、Miraiボットネットに組み込みDDoS攻撃を行っています。2025年4月にAkamaiの調査チームが最初に観測したこの活動は、OSのコマンドインジェクションの脆弱性(CVE-2024-6047およびCVE-2024-11120、CVSSスコア9.8)を悪用しています。攻撃はGeoVisionデバイスの特定のエンドポイントを標的にし、MiraiマルウェアLZRDをダウンロードして実行しています。
ボットネットが悪用するその他の脆弱性には、Hadoop YARNのCVE-2018-10561やDigiEverのバグが含まれ、これらはInfectedSlursと呼ばれる活動と関連している可能性があります。影響を受けたGeoVisionデバイスは新しいパッチが期待できないため、ユーザーは最新のモデルへのアップグレードが推奨されています。
また、CVE-2024-7399(CVSSスコア8.8)というSamsung MagicINFO 9 Serverのパストラバーサルの脆弱性もMiraiボットネットの配送に悪用されています。この脆弱性は、PoC公開後に攻撃者によって武器化されました。ユーザーはバージョン21.1050以上へ更新することが求められます。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 06 May 2025 21:03:00 +0530
Original URL: https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html
詳細な技術情報
この文章は、GeoVisionの寿命が終了した(EoL)IoTデバイスにおけるセキュリティフローを脅威アクターがどのように悪用して、Miraiボットネットに組み込み、DDoS攻撃を実行しているかについての報告です。以下、この報告を分析し、セキュリティに関する重要な詳細情報を説明します。
CVE番号と脆弱性の仕組み:
- CVE-2024-6047 および CVE-2024-11120: これらは GeoVision IoT デバイスにおける OS コマンドインジェクションの脆弱性です。これらの脆弱性は CVSS スコアが 9.8 と非常に高く、攻撃者が任意のシステムコマンドを実行することを可能にします。特に、
/DateSetting.cgiエンドポイントを標的とし、szSrvIpAddrパラメータにコマンドを注入することで悪用されます。 - CVE-2018-10561: Hadoop YARN の脆弱性で、過去にも同様にボットネットに悪用された可能性があります。
- CVE-2024-7399: Samsung MagicINFO 9 Server のパストラバーサルの脆弱性です。この脆弱性は攻撃者が任意のファイルをシステム権限で書き込むことを可能にし、特にJavaServer Pages (JSP) ファイルを巧妙に作成することによりリモートコード実行に繋がる可能性があります。
攻撃手法:
- 攻撃者は、古いファームウェアやセキュリティアップデートが停止したデバイスを標的にし、これらの脆弱性を悪用してボットネットに組み込みます。具体的には、ARM 版の Mirai マルウェアである LZRD をダウンロード・実行するためにコマンドが注入されます。
- また、不正ユーザーによる任意のファイルの書き込みを通じてリモートコード実行を実現する手法も含まれます。
潜在的な影響:
- DDoS攻撃による大規模なサービス妨害。
- 経済的損失やブランドイメージの低下。
- 影響を受けるデバイスが制御不能となり、ネットワークの他の部分にも脅威が及ぶ可能性。
推奨される対策:
- GeoVisionデバイスのユーザー:
- できるだけ新しいモデルへのアップグレードを推奨。新しいモデルには、近日の脆弱性が修正されている可能性が高い。
- Samsung MagicINFOユーザー:
- インスタンスをバージョン 21.1050 以降に更新し、既知の脆弱性を解消する。
- 全般的なセキュリティ対策:
- 定期的なソフトウェアやファームウェアのアップデート。
- 外部からのアクセス制限と厳格な認証管理。
- セキュリティ情報やパッチの最新情報の定期的な確認。
- 古いデバイスの適切な廃棄や更新。
