Deadbolt感染の原因は？

incho · 2022 年 2 月 27 日午前 6:12

先日Deadboltに感染してしまいました。
インターネットへの各種サービスの公開はせず、LAN内だけで使っているつもりでしたが、侵入されてしまったということは何等かのサービスが外部から接続できるようになっていたか、あるいはADMやアプリなどNASにインストールされるソフトウェアにバックドアが仕掛けられていたのではないかと疑っています。
今回、感染の原因はどこにあったのでしょうか。

IwaoMISH · 2022 年 2 月 28 日午前 2:54

公式な発表を待ちたいところですが，「これ以上感染を増やさない様に」と思い一般的な内容で書かしてもらいます．

幾つかの所で書かれていますが，「デフォルトポート8000，8001，80，443 など」が変更されていなくて，外（インターネット）からアクセスできる様になってはいないでしょうか？
自分の WAN の IP アドレスに対して，スマートフォンなどからのアクセス（//27.92.xxx.xxx:8000/）で幾つかは確認できます．

また，ルータが古かったり設定が正しくないと危険です．次の所でチェックしてみては如何でしょうか？

incho · 2022 年 2 月 28 日午後 12:53

IwaoMISHさん
ありがとうございます。公開してないつもりでしたが、確認したところ外からアクセスできる状態でした。

このNASはマニュアルに沿って使うだけではセキュリティ的に非常に脆弱で危険です。私は長年ソフトウェア業界にいてある程度はネットワークやセキュリティの知識があるつもりでしたが、それにもかかわらずこのような脆弱な状態に気付かずに使っていたことを恥ずかしく思います。

もしインターネットに公開せずに使いたい場合は、「設定」→「手動設定」→「EZ-Router」タブで「ポートフォワーディング」を全てOFFにする必要があります。また、これだけでは管理画面の公開はOFFにならないため「非アクティブにする」ボタンを押してUPnPを無効化するべきです。
公式の案内で「デフォルトポート8000，8001を変更する」といった案内がなされていますが、これはほとんど意味がなく、どのポートに変更したとしても、管理画面がインターネットに公開されていることには変わりありません。「非アクティブにする」ことが必要です。

インターネットからNASにアクセスできることは便利ではあるものの、必ずしも必要ではないはずです。特にLAN内の共有ストレージとしてだけ使いたい場合には、インターネットに公開されているかは意識しないはず。それにも関わらず、標準状態では公開されているとしたら、メーカー側の姿勢が問われるべきだと思いますね・・・。

IwaoMISH · 2022 年 2 月 28 日午後 1:56

返信ありがとうございます．
私も 80 にアクセスした時に危険なことを感じたのは最近で，次の所に記事にしていました．

incho さんのおっしゃる通りなのですが，どれだけのユーザが認識できているかは心配な所です．

mrst · 2022 年 3 月 1 日午前 1:14

最近使い始めたばかりですが、 ADM 4.0.3.RQ81（現行Ver.の一つ前）では「EZ-Router」はデフォルトでOff（非アクティブ）でした。
もちろん「ポートフォワーディング」には何も設定がない状態でした。
EZ-ConnectやDDNSもデフォルトは無効でしたし、基本的にユーザーの明示的な操作がない限りWAN側とは繋がらない設定になっていたと思います。
LAN内での使用が想定される設定になっていたからか、ファイアウォールはデフォルトで「すべて許可」になっていたのですが、これは若干危うい感じはします。
デフォルトの設定で使っている限りLAN内からしかアクセスできないのでいいといえばいいのですが…。

incho · 2022 年 3 月 1 日午後 6:04

mrstさん
私のところでは感染が確認された時点でEZ-Connectは有効、DDNSは無効、EZ-Routerはアクティブでした。

接続ログに使用開始時点（2021/6/30）からのすべてのログが残っていたので確認したところ、2021/12/8以前には外部からのログイン試行はなく、2021/12/8以降何度か外部からのログイン試行があり、それらは全て「Sign in failed」でした。
このことから初期状態では外部からの接続はできず、何かの設定を変えたタイミングでEZ-Connect、EZ-Routerのいずれか、もしくは両方が有効になったという予測が立ちます。
2021/12/8に何をしたのかきちんと覚えてはいないのですが、DLNA関連のアプリを入れて試したりしていた時期だったかもしれません。いずれにしてもインターネットに公開するような意図はなかったはずなので、LAN内で使おうとして何等かのアプリを入れただけでも、意図せずに外部に公開されてしまう恐れがあるのだと思います。

adminユーザーを無効にできないとか、他の目的（WordPressを公開したいなど）のためにEZ-Routerをアクティブにすると必ずADMも公開されてしまうとか、セキュリティ的に課題が多く、早急に改善すべきだと感じています。
未だにこのスレッドにサポートの方のレスがないのも不気味ですね。

mtb-nin · 2022 年 3 月 2 日午前 12:14

横浜国大での診断は問題無し・austorの設定変更も併せて実施済。

私の家では利用PC台数が多いのでセキュリティソフトを購入すると大きな金額と発生するため Bitdefender box2をレンタル利用してハード的なFW機能とNAS・PC・ネットワーク機器を defender box2のLAN側に接続し保護を行っています。もちろんWi-Fiは別系統でASUS メッシュWI-FI でスマホは接続しています。
bitdefender のソフトはスマホ・PC共に30台程度までセキュリティソフト利用可能です。
もちろん必要があればVPN接続も可能です。
ipアドレスはロシア圏・中国圏等の危険性が有る国を禁止設定。

データーのバックアップは asustor NASのusb3にHDDを接続して定期バックアップ。それと共に古く生ったNASをバックアップ用サーバーにして定期バックアプと同時にローカルPC内のHDDに重要データーをバックアップとしています。（全て Bitdefender box2で保護されたLAN側）

mrst · 2022 年 3 月 2 日午前 1:09

いつからかはわかりませんがADM 4.0.3.RQ81ではユーザーadmin,guestはともにデフォルトで無効になってました。EZ-Routerで開くポートは下の「ポートフォワーディング」の「編集」ボタンから選択できるので、ADMのポートをUPnPで開かないようにすることも可能だと思います。
覚えていないだけでinchoさん自身が設定変更したというのが一番あり得そうなケースだと思いますが…。
それは措くとして、感染ルートに関してはもう少し具体的な説明が欲しいところですね。
ADM 4.0.4.RQO2のChange logは何も言ってないに等しいですからね。

IwaoMISH · 2022 年 3 月 2 日午前 2:47

家庭内の LAN 限定ですが「スマートホームスキャナー」も，LAN 内の機器がどの様な設定になっているかチェックできるのでお勧めです．
https://mish.hatenablog.jp/entry/2020/12/16/smart_home_scanner

incho · 2022 年 3 月 2 日午後 1:23

AS1002T v2を使っていて、今はADMバージョン4.0.4.RQO2になっています。
ポートフォワーディングの「編集」で「ADM Web service」のチェックボックスをOFFにしようとしても、昨日まではできなかったのですが、なぜか今は出来るようになっています。
感染が分かって色々と調べているときに「編集」の最上部のチェックボックスで全チェックのON/OFFができるのに、全OFFしようとしてもADMだけはチェックが外れなかったので、これは最近のアップデートでチェックOFFにできるようになったものと思います。
メーカー側もこれは危険だと気づいて修正したのでしょう・・・。
もう感染してしまったので、いまさら何を言っても始まりませんが。