警察庁、組み込み機器向け「Zeroshell」の脆弱性を狙った攻撃増加について注意喚起

2020年8月16日(日)

 警察庁は8月11日、組み込み機器向けLinuxディストーション「Zeroshell」の脆弱性を狙う通信が、7月以降に国内で検知され続けているとして注意喚起を発表した。

 今回の発表では、「Zeroshell」のOSコマンドインジェクションの脆弱性(CVE-2019-12725)、cgi-bin/kerbynetにおける任意のコマンドを実行される恐れのある脆弱性(CVE-2009-0545)が2019年と2009年に報告されており、観測されている攻撃は既知の脆弱性を突いて外部のホストからシェルスクリプトをダウンロード・実行させるものだという。

 このような攻撃は7月16日から観測され、8月3日まで連日観測されているという。シェルスクリプトが実行されると、外部のホストからマルウェア「Mirai」およびその亜種がダウンロードされ、実行される恐れがあるとしている。

 この影響を受けるのは「Zeroshell 3.9.0」「Zeroshell 1.0 beta11」およびそれ以前となっており、対策済みバージョンへのアップデート、VPN接続を用いることなどの対応が強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

※本ニュース記事はびぎねっとITニュースから提供を受けて配信しています。
転載元はこちらをご覧ください。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る