Threatpost - The First Stop For Security News

10月13日(米国時間)、Threatpostに掲載された記事「Old SSH Vulnerability at Center of Credential-Stuffing Attacks|Threatpost|The first stop for security news」が、12年前に発見されてすでに修正されているOpenSSHの脆弱性と弱いデフォルト認証を組み合わせて、IoTデバイスやホームネットワークデバイスを乗っ取る行為が観測されていると伝えた。すでに200万ほどのデバイスがこの攻撃で乗っ取られた可能性があるという。

今回発見された攻撃は、2004年に発見されたOpenSSHの脆弱性(CVE-2004-1653: The default configuration for OpenSSH enables AllowTcpForwarding, which could allow remote authenticated users to perform a port bounce, when configured with an anonymous access program such as AnonCVS)を悪用したもの。この脆弱性を悪用して、IoTデバイスがクレデンシャルスタッフィングと呼ばれるブルートフォース攻撃とよく似た攻撃に利用されている。

インターネットに接続するタイプのデバイスはこうした古いソフトウェアを使い続けているものが少なくない。しかも、すでにサポートが終了したプロダクトはファームウェアのアップデート版が提供されることもなく、攻撃者にとって格好の攻撃用機器として悪用できる。しかも、攻撃を受けているユーザーはその存在にすら気がつくことがない。

このような脆弱性を抱えたデバイスは世界中でかなりの台数がインターネットに接続した状態になっているものと見られ、今回のような攻撃はさらに発見される台数が増えることが予想される。