DNSmasqはWannaCryやMiraiを超えるサイバー攻撃を引き起こす可能性がある

良いニュースです！ Googleセキュリティが人気のあるdnsmasqサービスのための7つの重大な脆弱性とPoCエクスプロイトコードを公開してから10日が経過しても、世界は依然として無事です。これはどれくらい続くのでしょうか？ WannaCryの発生を参照すると、公開されたエクスプロイトからグローバルな発生までにはしばらく時間がかかります。 本当にそうなのでしょうか？ EternalBlueエクスプロイトは1月7日に公開され、他の「翻訳中に失われた」リークとともに5ヶ月前にWCry攻撃が行われました。しかし、正確なタイムラインを思い出すと、4月末までに1,7M以上のホストがDoublePulsarバックドアで感染していたことがわかります。^th 4月19日にPhobosGroupのDan Tentlerが報告した大規模なDoublePulsar感染を参照したいと思います。スキャンの努力を開始し、発見を報告しています。そして、WannaCryが5月12日に発生したとき^thそれは、何万ものバックドアが設置されたマシンが公開されるまでの24日間に正確に続きました。これはDnsmasqの状況にどのように関連しますか？今回は、この脅威を説明するきれいな絵を描く自由を少しだけ持っていました。^th 3つのRCE脆弱性を抱えているため、未パッチのdnsmasqを実行しているすべてのマシンをすでに侵害されている可能性があると見なし、バックドアが設置されていると考える必要があります。そして、24日でグローバルなWannaCry攻撃を実行できる敵対者の能力を見たので、すでに大きな問題が起こる可能性があると予測できます。10月26日か27日に、情報セキュリティ関係者の楽しみな金曜日を迎えることになるかもしれません。攻撃者は常に進化していると言われていることから、より速く発生することも考えられます。バックドア仮説を確認するためのスキャンと検証があると良いでしょうが、まずShodanに問い合わせて、差し迫った災害の規模を測定しましょう。精度を確かめたい場合は、このクエリをご覧ください: https://www.shodan.io/search?query=dnsmasq+!dnsmasq-2.76+!dnsmasq-2.78+!dnsmasq-2.77+!dnsmasq-2.79+!dnsmasq-2.8+!dnsmasq-2.9^th 10月11日時点で脆弱なバージョンのdnsmasqを実行しているデバイスの総数は1,178,031台であり、バージョン2.76が脆弱であると考えない場合でも、マス攻撃の可能性があるとは限らない場合でもあります。私は以前、10月6日に未パッチデバイスの数を報告しており、発見された未パッチのデバイスの数は1,131,229台で、Shodanが発見する未パッチのデバイスの数は増え続けています。^thおそらくGoogleセキュリティの警告が無視されたのかもしれません。それでも、企業におけるパッチ管理サイクルが長いこと（これはIoTに存在するのですか？）や、サポート外のAndroidデバイスが大量にあることを考慮すると、この状況は理にかなっていることがわかります。影響は世界的ですか？このShodanからのレポートで答えを見つけられるかもしれません。^th では、なぜMiraiを言及するのでしょうか？ Miraiは、telnetなどの明文プロトコルやハードコードされた資格情報を活用して、安全でないIoTデバイスのスキャンとボットアーミーの構築を行っていた悪名高いボットネットでした。そのような能力を持つ敵対者は、特定の脆弱性を利用して攻撃をアップグレードするのにほとんど問題はありません。しかし、もし10月27日までに何も起こらなければ、dnsmasqはAPTアクターによって利用され、永続性を確立しようとするでしょう（MITRE ATT&CKで方法をご覧ください）そして隠密に行動するでしょう。基本dnsmasqパッチが突然急増した場合には、あらゆるところにAPTがあると言います。 APTアクターにとっては、有利な進入（および脱退出）ルートであり、DNSトラフィックは依然として多くの組織で保護されておらず、アクセス制御がなされておらず、指令・制御、データ配信、データ漏洩のために簡単に悪用される可能性があります。何があっても、これらのアセットをブロックして安全側に立ち、サイバーセキュリティで他に素晴らしいことをするための検出制御を導入してください。そして、職場でのIoTプロジェクトの一環として、または家庭用ルーターとしてdnsmasqデバイスをお持ちの方は、今すぐそのファームウェアをアップグレードしてください！

/安全第一

追伸: トールフィードと照合された1,17K以上のデバイスを確認したところ、見つかった命中率はわずか1件です。私たちはIPをIPVoidとVirusTotalに照合し、すでにいくつかのIPを悪意のあるものとして確認しています。更新が続々と届きます。

SIEMコンテンツ

ArcSight: 進行中 and Splunk: 投票してそして進行中QRadar: Splunk: 投票して

Splunk: 進行中 and Splunk: 投票して