IoTマルウェア「SORA」「UNSTABLE」確認、ルーターや監視カメラ用ストレージシステムを狙う「Mirai」亜種

　IoTマルウェア「Mirai」の亜種である「SORA」「UNSTABLE」が確認されたとして、トレンドマイクロ株式会社が注意を呼び掛けている。これらのマルウェアは、ルーターや監視カメラ用ストレージシステムの脆弱性を狙う特徴がある。

　Miraiは、脆弱性を持つIoTデバイスを検索し、感染させたデバイスをボットネット化するマルウェアの一種。今回確認されたSORA（検出名「IoT.Linux.MIRAI.DLEU」）およびUNSTABLE（検出名「IoT.Linux.MIRAI.DLEV」）は、Rasilient製の監視カメラ用ストレージシステムの脆弱性「CVE-2020-6756」を悪用して同システムへ侵入する。攻撃者がこの脆弱性を悪用するとリモートでのコード実行（RCE）が可能になる。

　Miraiの脆弱性悪用方法と同様、攻撃者は遠隔操作用サーバー（C2サーバー）からシェルスクリプトをダウンロードさせて、ペイロードとしてSORAあるいはUNSTABLEをダウンロードして実行する。

　トレンドマイクロで確認したSORAの検体は、パスワードリストによる辞書攻撃を実行する。この亜種はHuaweiルーター「HG532」およびDasan GPONルーターに存在する脆弱性、主に攻撃者による遠隔からのコードの実行を可能にする「CVE-2017-17215」と、攻撃者によるデバイスの不正アクセスを可能にする「CVE-2018-10561」を悪用する。

Huawei製ルーター「HG532」の脆弱性を悪用する「SORA」に埋め込まれたコード

　UNSTABLEは脆弱性「CVE-2017-17215」「CVE-2018-10561」に加えて、オープンソースのウェブ開発フレームワーク「ThinkPHP 5.0.23/5.1.31」の脆弱性も悪用する。これによりRCEが可能になり、マルウェアのダウンロードと実行が行われる。UNSTABLEのいくつかの検体では圧縮ソフト「UPX（Ultimate Packer for eXecutables）」を使用して圧縮されていたことから、実行バイナリのサイズを縮小することによって検出回避を図った可能性があるという。

「ThinkPHP 5.0.23/5.1.31」の脆弱性を悪用するコードが埋め込まれている

　トレンドマイクロでは、こうした脅威からIoTデバイスを保護するために、以下の対策を行うよう注意を促している。

• ルーターや他のIoTデバイスのパスワードを工場出荷時のままにしない
• 適切なセキュリティ設定を行い、使用していない機能は無効にする
• ネットワークトラフィックを注意深く監視し、見たことのないドメインへの接続試行が増加していないか確認する
• 修正プログラムとアップデートを適用して脆弱性に対処し、新旧の脆弱性を狙う脅威からIoTデバイスを保護する