米国連邦捜査局(FBI: Federal Bureau of Investigation)は12月16日(米国時間)、「(PDF) HiatusRAT Actors Targeting Web Cameras and DVRs」において、複数の脆弱性を悪用したサイバー攻撃キャンペーンに対し、注意を喚起した。

主な標的は中国企業が開発、販売しているネットワークカメラおよびDVRとされる。発見された一部の脆弱性は修正されておらず、それらデバイスをインターネットから切断するか、または利用の中止を推奨している。

  • (PDF) HiatusRAT Actors Targeting Web Cameras and DVRs

    (PDF) HiatusRAT Actors Targeting Web Cameras and DVRs

積極的にサイバー攻撃に悪用されている脆弱性

今回のサイバー攻撃キャンペーンでは、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「HiatusRAT」が用いられた。このマルウェアを用いる脅威アクターは、これまで古いネットワークエッジデバイスを標的にしていたが、今年3月に確認された攻撃では米国、オーストラリア、カナダ、ニュージーランド、英国のIoT(Internet of Things)機器を標的にした。

キャンペーンで積極的に悪用されている脆弱性は次のとおり。

  • CVE-2017-7921 - Hikvisionのネットワークカメラに不適切な認証の脆弱性。攻撃者は特権昇格および機密情報を窃取できる可能性がある(CVSSスコア: 10.0)
  • CVE-2018-9995 - TBKのDVRに認証バイパスの脆弱性(CVSSスコア: 9.8)
  • CVE-2020-25078 - D-Linkのネットワークカメラに機密情報漏洩の脆弱性(CVSSスコア: 7.5)
  • CVE-2021-33044 - 一部のDahua製品に認証バイパスの脆弱性(CVSSスコア: 9.8)
  • CVE-2021-36260 - Hikvision製品のWebサーバーにコマンドインジェクションの脆弱性(CVSSスコア: 9.8)

脆弱性の修正状況

CVE-2017-7921は2017年3月にベンダーから修正アップデートが提供されているが、FBIは2024年12月13日時点で、脆弱性は修正されていないと説明している。各脆弱性の修正状況は次のとおり。

  • CVE-2017-7921 - ベンダーは「Security Notification: Privilege-Escalating Vulnerability in Certain Hikvision IP Cameras - Security Advisory - Hikvision」から修正アップデートを提供している。しかしながら、FBIは修正されていないとしている
  • CVE-2018-9995 - 修正アップデートは提供されていない
  • CVE-2020-25078 - 影響を受ける一部のデバイスがサポート終了(EOL: End-of-Life)となっている。それ以外は「D-Link Technical Support」から修正アップデートが配布されている
  • CVE-2021-33044 - ベンダーから修正アップデートが配布されている
  • CVE-2021-36260 - ベンダーから修正アップデートが配布されている

対策

FBIは上記の脆弱性の影響を受ける製品について、インターネットから切断するか、または使用の中止を推奨している。また、他のネットワークデバイスやIoT機器についても、今後同様の攻撃が想定されるとして次の対策の継続的な実施を推奨している。

  • 製品のアップデートが提供された場合は、速やかに適用する
  • サポート終了(EOL: End-of-Life)となった製品は、インターネットから切断するか、使用を中止する
  • デバイスに使用されているすべてのパスワードを一意で強力なものに変更する。可能であれば多要素認証(MFA: Multi-Factor Authentication)を導入する
  • ネットワークトラフィックを記録できるセキュリティソリューションを導入する。また、横方向の移動など、異常なネットワークの活動を検出して対処できる体制を整える
  • リモートデスクトッププロトコル(RDP: Remote Desktop Protocol)を監視して、未使用のポートを無効にする
  • 既知の許可されたプログラムのみ実行できるようにポリシーを設定する
  • 最小権限の原則に基づいたアクセス制御を構成する。また、定期的に権限を検証して調整する
  • ログを定期的に監査し、新規アカウントの正当性を検証する
  • ネットワークスキャンを実施する。不要なポートは調整する
  • 重要な資産のイミュータブルバックアップを作成する
  • 可能な限りネットワークセグメントを実装する。物理的なセグメント化に限界がある部分は、論理的なセグメント化を検討する
  • セキュリティソリューションを導入して自動更新を有効にする。また、定期的にスキャンを実行する

安定して動作している古い製品はチェックを怠りがちだが、攻撃者はそのような製品を標的にする。また、ネットワークデバイスやIoT機器への攻撃は、管理者に気づかれないように実施されることが多く、異常に気づいたときには数年間も悪用され続けていることがある。

そのような事態を避けるため、ネットワークに接続しているデバイスの管理者は、安定していても定期的にデバイスを再起動し、上記の対策を実施することが望まれている。