2014年12月5日頃からTCP8080番ポートへのスキャンが増加し、8080番ポート宛の探索パケットに応答した場合にはGNU bash の脆弱性を対象とした攻撃リクエストが送信されているとして、JPCERTコーディネーションセンターが注意を呼びかけている。
今回確認された攻撃は、以前QNAP社から攻撃が行われていると公開されていたNASを対象とした攻撃で、TCP8080番ポートへのスキャンを行ってきた一部送信元IPアドレスでの当該製品のログイン画面らしき応答が確認されている。
攻撃の流れとしては、攻撃者がTCP8080番ポート宛の探索パケットを送信し、探索パケットに応答したIPアドレスに対しGNU bashの脆弱性を使用するリクエストを送信している。脆弱なファームウエアを使用していると、当該製品上でコマンドが実行されて、インターネット上からスクリプトをダウンロードし、ユーザの追加やバックドアの設置、GNU bash の脆弱性の修正、ランダムなネットワークに対するTCP 8080番ポート宛の探索パケット送信、応答した場合には該当IP アドレスに対しGnu bashの脆弱性を使用するリクエストを送信する。攻撃が成功すると製品に保存された情報が窃取されたり他のネットワーク接続機器に攻撃をする恐れがある。
JPCERTは攻撃の踏み台となっている送信元IPアドレスのネットワーク管理者に連絡を行っている。対策として、ファームウェアのバージョンを確認し、対策済みファームウェアを適用するよう呼びかけている。
