rom-0攻撃
さて、私がハニーポットdionaeaを公開してから一番槍で来た、rom-0攻撃について書きたいと思います。
まず、ログをご覧ください。
*一部情報を伏せています
stream = [('in', b'GET /rom-0 HTTP/1.1\x0d\x0aHost: IPアドレス\x0d\x0aUser-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)\x0d\x0aConnection: close\x0d\x0a\x0d\x0a'), ('out', b'HTTP/1.0 404 Not Found\x0d\x0aContent-type: text/html; 以下略
Googlebot*1のふりをして(User-Agentは偽装可能)、GETメソッドに rom-0 と入力しています。
rom-0とは
ZyXELという企業の、ZyNOSというOSを搭載したルータが持つ設定ファイルのこと。どうやらパスワードなど大事な設定が保存されている模様・・・。 アドレスバーにルータIPアドレス/rom-0と入力しただけで誰でも設定ファイルが取得できてしまうというとても恐ろしいものです。そのままでは読めませんが、どうやらデコードツールがあるらしく・・・。 簡単に、攻撃者にルータがいじられてしまいます。 詳しい手法は以下の動画に。
当然ですが悪用厳禁!!!!!!
日本にはないルータなので、基本的にはみなさんには影響のない攻撃でしょう。怖い!という場合には脆弱性がないかテストするサイトもあります。
それにしても、簡単に抜かれてしまうとは、本当に恐ろしい・・・。
ほか参考サイト
How I saved your a** from the ZynOS (rom-0) attack !! ( Full disclosure ) | Root@Nasro