[注意][bot][セキュリティ] Hajime botnetによるスキャン活動が増えています

Blog, Info

以前より活動しているとされる「Hajime bot」ですが、最近どうやらMikrotik製品を狙った活動をしているようです。

結論から言いますと、RouterOSの最新版を適用している限りは脆弱性への影響はありません。

初めに

Hajime botnetのRouterOSを狙った活動については、IIJ様が記事に取り上げています。

また海外でも同様で、多くの記事が出されています。

解説

どうやら2018年3月26日ごろから、以前より活動していたHajime botnetのスキャン活動が変わり、Winbox (8291) and WWW (80) をスキャンする動きが強まっているようです。

MikroTik RouterOSのファームウェア6.38.4以前に影響するバグである “Chimay Red"という脆弱性が悪用され、攻撃者はこれを利用しているようです。

これはCIAハッキングツールのWikiLeaks「Vault 7」リークに含まれていたものと、脆弱なデバイスのホスト名を「hacked.」に変更していたもののようです。

Hajime botnetは、ポート8291上のランダムなIPアドレスをスキャンします。この初期スキャンは、リモートIPがMikroTikデバイスを実行しているかどうかを調べることです。

ボットがそのようなデバイスの1つを特定すると、80,81,82,8080,8081,8082,8089,8181、および8880のいずれかのポートを介して送信されるエクスプロイトパッケージでデバイスを感染させようとします。

攻撃方法の詳細については、初めに報告されたRadwareのWebサイトを確認してください。

The Mikrotik RouterOS-Based Botnet

対策

これについてはMikrotikから公式のアナウンスが出ている通り、少なくともRouterOSのバージョンを6.38.5にアップグレードする、できることであれば最新の6.41.3にすることを強く検討してください。

また、以下のように設定を見直すことも大事です。

Am I safe?

– If you upgraded your router in the last ~12 months, you are safe
– If you had “ip service" “www" disabled: you are safe
– If you had firewall configured for port “80": you are safe
– If you only had Hotspot in your LAN, but Webfig was not available: you are safe.
– If you only had User Manager in your LAN, but Webfig was not available: you are safe.
– If you had other Winbox port before this: you are safe from the scan, but not from the infection.
– If you had “winbox" disabled, you are safe from the scan, not from the infection.

– If you had “ip service" “allowed-from" set to specific network: you are safe if that network was not infected.
– If you had “Webfig" visible to LAN network, you could be infected by an infected device in your LAN.

CLIからですと以下の項目になると思います。

/ip service
set telnet disabled=yes
set ftp address=192.168.88.0/24 disabled=yes
set www address=192.168.88.0/24
set ssh address=192.168.88.0/16
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes

IP serviceであれば、不要なサービスであればdisabled=yesを設定し、サービスを無効化しましょう。どうしても使用したいと考えているのであれば、addressで接続できるIPアドレスを制限しましょう。

また、winbox(8291/tcp)、www(RouterOS的にはWebfig)(80/tcp)、www-ssl(443/tcp)については、ポートの変更が可能ですので、デフォルトのポートから変更も検討すべきだと思います。

Firewallの観点からは以下のフィルターを追加するのもよいと思います。

/ip firewall filter
add action=drop src-address=!192.168.88.0/24 port=80 protocol=tcp comment="www"
add action=drop src-address=!192.168.88.0/24 port=8291 protocol=tcp comment="winbox"
add action=drop src-address=!192.168.88.0/24 port=443 protocol=tcp comment="www-ssl"

Port Forwardingする必要があるのであれば、"add action=drop in-interface=all-ppp“など、でもよいと思います。

また、ログインアカウントのパスワードなども見直すようにしてください。

最後に

繰り返しになりますが、RouterOSで最新版を適用し、かつ適切なFirewall設定などがされている場合は脆弱性への影響はありません。

出来ていないというのであれば、早急にRouterOSを6.41.3などにアップグレードすることを検討してください。RouterOSについてはアップデートについては無償で行えます。また、ServiceやFirewallの設定なども見直すようにしてください。

公式フォーラムでもMikrotik側からの見解が掲載されていますので、目を通すようにしてください。

Urgent security advisory – MikroTik