OpenSSHの12年前の脆弱性を突いたホームデバイスの乗っ取りが観測

OpenSSHの12年前の脆弱性を突いたホームデバイスの乗っ取りが観測

  • マイナビニュース
  • 更新日:2016/10/19
No image

Threatpost - The First Stop For Security News

10月13日(米国時間)、Threatpostに掲載された記事「Old SSH Vulnerability at Center of Credential-Stuffing Attacks|Threatpost|The first stop for security news」が、12年前に発見されてすでに修正されているOpenSSHの脆弱性と弱いデフォルト認証を組み合わせて、IoTデバイスやホームネットワークデバイスを乗っ取る行為が観測されていると伝えた。すでに200万ほどのデバイスがこの攻撃で乗っ取られた可能性があるという。

今回発見された攻撃は、2004年に発見されたOpenSSHの脆弱性(CVE-2004-1653: The default configuration for OpenSSH enables AllowTcpForwarding, which could allow remote authenticated users to perform a port bounce, when configured with an anonymous access program such as AnonCVS)を悪用したもの。この脆弱性を悪用して、IoTデバイスがクレデンシャルスタッフィングと呼ばれるブルートフォース攻撃とよく似た攻撃に利用されている。

インターネットに接続するタイプのデバイスはこうした古いソフトウェアを使い続けているものが少なくない。しかも、すでにサポートが終了したプロダクトはファームウェアのアップデート版が提供されることもなく、攻撃者にとって格好の攻撃用機器として悪用できる。しかも、攻撃を受けているユーザーはその存在にすら気がつくことがない。

このような脆弱性を抱えたデバイスは世界中でかなりの台数がインターネットに接続した状態になっているものと見られ、今回のような攻撃はさらに発見される台数が増えることが予想される。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

IT総合カテゴリの人気記事

グノシーで話題の記事を読もう!
【ビデオ】ダッジ、米国製マッスルカー初の4輪駆動となる「チャレンジャー GT」を発表!
日本のIT産業の生産性の低さの一つの理由 --- 水野 匡章
業務の効率化に貢献!?オフィスの個室トイレの空き状況が確認できるアプリ『Toilet IoT』
女の子にマッサージも アダルトゲーム「VRカノジョ」が最新VRコントローラー対応で、“手”で触れるプレイが可能に
マリファナや野菜を自宅で簡単に育てられる全自動栽培ボックス「Leaf」

注目のキーワード

キーワードで気になるニュースを絞りこもう

  • このエントリーをはてなブックマークに追加