ラック、JSOCが検知した攻撃の実態レポート「JSOC INSIGHT vol.14」を公開 | ニュースリリース | 株式会社ラック

(情報元のブックマーク数

JSOC INSIGHT Vol.14が出ました!

本レポートは、JSOCが監視しているIDS/IPS、サンドボックスファイアウォール機器において、2016年7月から9月までの間に検知したセキュリティ攻撃を、ラックのセキュリティアナリストが分析しインシデント傾向に加え、特に注目すべき脅威について、詳細に説明しています。

  • IoT機器の乗っ取りを試みる攻撃の増加
    IoT機器を対象とした、不正なOSコマンドの実行を試みる攻撃を多数検知しています。本攻撃が成功すると、外部から不審なバイナリファイルをダウンロードします。ダウンロードされるバイナリファイルを調査したところ、様々なIoT機器のデフォルトパスワードによるリスト型攻撃が行われ、機器の乗っ取りが成功した場合は感染拡大を行うことを確認しています。IoT機器は安価で導入が容易であるものの、デフォルトパスワードを含む推測可能なパスワードを使用しないことや、ファームウェアの適宜アップデート等、利用する際は適切なセキュリティ対策が必要になります。
  • Cisco社製品のコード実行の脆弱性(CVE-2016-6366)について
    Cisco社のファイアウォール製品に、細工されたSNMP パケットを介して、任意のコードを実行されるゼロデイの脆弱性が公開されました。本脆弱性の攻撃ツールを検証したところ、SNMP パケットを介して任意のコードを実行させることはできませんでした。しかし、Cisco ASA機器の停止および再起動や、リモートログインの認証を無効化することで、任意のユーザID/パスワードでログインおよび特権モードへの昇格が可能な状態にできることを確認しました。本脆弱性を悪用するには、いくつかの前提条件がありますが、重大な影響を及ぼす脆弱性であるため、早急なアップデートが必要です。
  • BINDに存在するサービス不能脆弱性(CVE-2016-2776)について
    BINDに外部からサービス停止を可能とする脆弱性が公開されました。本脆弱性が公開された1週間後に実証コードが公開されたことに加え、警察庁などからも無差別な攻撃活動を確認したとして注意喚起が行われています。本脆弱性はBIND 9.0.0以降のすべてのバージョンが対象となり、影響範囲が広く、悪用することが容易な脆弱性のため、早急なアップデートが必要です。
ラック、JSOCが検知した攻撃の実態レポート「JSOC INSIGHT vol.14」を公開 | セキュリティ対策のラック

screenshot