Linksysルータに感染するワームが流通、ポートチェックを

80番ポートと8080番ポート上のアウトバンドスキャンが増大するなどの動きがあれば、感染が疑われるという。

» 2014年02月14日 07時25分 公開
[鈴木聖子,ITmedia]
感染する可能性のあるLinksysのルータ(一部)

 米SANS Internet Storm Centerは2月13日、Linksysのルータに感染するワーム「TheMoon」が出回っていると伝えた。米国のインターネットサービスプロバイダー(ISP)から、ここ数日で多数の顧客のLinksysルータがワームに感染したと通報があったという。

 SANSによると、まだ確定できたわけではないものの、現時点で影響を受けると思われるルータはE4200、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900の各モデル。E1200では最新のファームウェア(2.0.06)にアップデートしていれば影響は受けないとみられる。E1000の場合、サポート期限が切れているためファームウェアのアップデートは存在しない。

 ルータに感染したワームはまず8080番ポートに接続し、必要ならSSLを使って「/HNAP1/」というURLをリクエストする。ここからルータの機能とファームウェアバージョンに関するXMLフォーマットのリストを返させ、バージョン情報などを引き出しているようだという。

 このワームはルータ上でCGIスクリプトの脆弱性を悪用する機能を持ち、ネットワークをスキャンして他のデバイスに感染を広げようとする。SANSに通報してきたISPは、ワームによるスキャンのために帯域幅が使い尽くされたと伝えている。

 ワームを操るためのコマンド&コントロールチャネルが存在している形跡もあるといい、それが確認されれば、ボットとしての機能も持つことになるとSANSは指摘する。

 ワームには670種類のネットワークのリストが含まれており、米国だけでなく各国のケーブルISPやDSL ISPが標的になっているとみられる。

 感染の兆候として、80番ポートと8080番ポート上のアウトバンドスキャンが増大したり、1024番未満のポートにインバウンド接続しようとする動きがあれば、感染が疑われるとSANSは解説している。

SANSの注意喚起

関連キーワード

ワーム | ルータ | Linksys


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ