2023年8月度 MBSD-SOCの検知傾向トピックス

MikroTik RouterOSの脆弱性（CVE-2018-14847）を狙った攻撃

　今月は、MikroTik RouterOSの脆弱性（CVE-2018-14847）を狙った攻撃が増加しました。本脆弱性を悪用された場合は、認証されていないリモートの攻撃者に任意のファイル読み取りと書き込みをされてしまう恐れがあります。

　下図は、今年7月から8月末までの本脆弱性を狙った攻撃数の推移です。弊社SOCでは、2022年4月から5月にかけて攻撃数が増加しており、以降は観測されない状況が継続しておりましたが、今月中旬に再度検知数が増加しました。

図. MikroTik RouterOSの脆弱性を狙った攻撃の検知数推移（2023/7/1~8/31）

　下図は、弊社SOCで検知した攻撃のパケットペイロードの一部です。検知したHTTPリクエストは断片的ですが、パストラバーサルの脆弱性を悪用してユーザデータベースの取得を試みた通信と考えられます。本脆弱性の影響対象は、「MikroTik Rout-erOS 6.42 以下」ではありますが、今年7月に深刻な脆弱性（CVE-2023-30799）が報告されているため、該当製品を利用している場合は、最新のバージョンにアップデートすることをお勧めします。

　今月における本攻撃の攻撃元国の上位5件は以下の通りです。大半がドイツ（5.104.80.129）からの攻撃となっていました。

参考情報

• CVE-2018-14847 WINBOX VULNERABILITY
  https://blog.mikrotik.com/security/new-exploit-for-mikrotik-router-winbox-vulnerability.html
• CVE-2018-14847
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14847
• CISA Adds Five Known Exploited Vulnerabilities to Catalog
  https://www.cisa.gov/news-events/alerts/2021/12/01/cisa-adds-five-known-exploited-vulnerabilities-catalog