eSecurity Planetは12月9日(現地時間)、「Broadside Mirai Botnet Hijacks Ship Cameras for DDoS|eSecurity Planet」において、海上船舶に影響するボットネットに対し注意を喚起した。
これは海洋サイバーセキュリティ企業「Cydome」の調査レポート「Cydome Research Identifies Broadside, A New Mirai Botnet Variant, Targeting Maritime IoT - CYDOME」により明らかになった。ボットネット「Mirai」の新しい亜種「Broadside」が、TBK Vision製デジタルビデオレコーダー(DVR: Digital Video Recorder)の脆弱性を悪用してデバイスを侵害するという。
-
Broadside Mirai Botnet Hijacks Ship Cameras for DDoS|eSecurity Planet
サイバー攻撃の概要
調査レポートによると、初期の侵害経路は既知の脆弱性「CVE-2024-3721」とされる。この脆弱性を悪用されると、リモートの攻撃者に任意のコマンドを実行される可能性がある。
すでに概念実証(PoC: Proof of Concept)コードが公開されており、11万台以上のデバイスに影響するとの指摘がある(参考:「GitHub - netsecfish/tbk_dvr_command_injection」)。脆弱性が存在する製品およびファームウェアバージョンは次のとおり。
- DVR-4104 2024年4月12日までにリリースされたすべてのファームウェアバージョン
- DVR-4216 2024年4月12日までにリリースされたすべてのファームウェアバージョン
この攻撃ではボットネットの構築に加えて、デバイスから認証情報を窃取することが確認されている。攻撃者は認証情報を悪用して特権昇格およびネットワークの横移動などを試みる可能性がある。
影響と対策
TBK Vision製デジタルビデオレコーダーは主に船舶カメラの情報記録に用いられており、操舵室や機関室の映像を窃取される可能性がある。また衛星通信の帯域が飽和することで、監視システムの機能を失うリスクもある。
Cydomeは攻撃を回避するために、当該製品を運用している管理者に対して次の対策を推奨している。
- 最新のファームウェアに更新する
- ネットワークの分離を推進し、リスクのあるデバイスを重要なシステムから切り離す
- 運用しているネットワーク機器の脆弱性情報を収集し、速やかに対策を実施する
- 一意で強力なパスワードの利用を徹底する。可能であれば多要素認証(MFA: Multi-Factor Authentication)を導入する
攻撃者は単なるボットネットの構築にとどまらず、侵害したデバイスを汎用攻撃ツールへと変貌させ、高度な攻撃に悪用する可能性がある。サイバー攻撃の協力者にならないためにも、船舶ネットワークの管理者には継続したセキュリティ対策の実施が望まれている。
