その後のCiscoルータのWebUIの脅威

先日、CiscoルータのWebUIの脆弱性を悪用する脅威についての情報がありました。
その件については、すでにCiscoによる対策は開始されていますので、安全化できる見通しはあります。
しかし、ここにきて急速に事態が変化しているようなのです。

• 急激に感染数が減少
  従来の感染状況の確認手法による感染数の調査の結果が、急速に変化しています。
  話題になった当時感染数が40000に達していたのですが、それが数日で数百台になったというのです。

何が起こっているのでしょうか。
もちろん、情報を知った管理者がなんらかの対応を行い、侵害された状態ではなくなった機器もあると思います。
しかし、この急激な変化はそれだけでは説明がつきそうにありません。

追跡調査が行われた結果、機器に感染していたマルウェアの変更が行われ、従来の検出方法では検出できないものに変化していることがわかりました。
マルウェアの更新が順次行われている状況だったため、数日で急激に感染台数の検出結果が減少するという調査状況となったわけです。

マルウェアの更新により、マルウェアの更新前の感染確認方法では、感染状況が確認できないことがわかりました。
しかし、更新されたマルウェアの感染状況の確認に使える新しい確認方法もわかりました。
方法は難しくありません。
次のようにcurlを使って簡単に確認することができます。

curl -k "https://DEVICEIP/%25"

「DEVICEIP」の部分には確認するCisco機器の管理インターフェースのIPを指定して実行します。
この確認コマンドに対する応答に、「404 Not Found」メッセージを含むHTMLページを含む404のHTTP応答が返された場合、インプラントの既知のバリエーションが存在します。
インプラントのないシステムは、標準の404のHTTP応答のみを返すか、JavaScriptリダイレクトの内容を200のHTTP応答として返します。

システム管理者は、マルウェアの情報を知り、対策を講じます。
マルウェア作成者もまた、マルウェアの情報が出ていることを知り、対策を講じます。
新しい情報を知ることは力だといえそうです。

参考記事（外部リンク）：fox-it / cisco-ios-xe-implant-detection
github.com/fox-it/cisco-ios-xe-implant-detection