実は危険な「PPPoEブリッジ」
ある日突然、Fail2Ban が、SSH の不正接続により IPv6 アドレスを BAN(ブロック)したとのメールが届いた。
だが当然の事なのだが、ルーターでは SSH ポートは開放しておらず、なぜ SSH に対する攻撃が発生したのか、侵入ルートすら分からずに驚いてしまった。
Fail2Ban からのメール
Hi,
The IP 2a02:d480:4c0:10d4:42::3 has just been banned by Fail2Ban after
3 attempts against sshd.
Here is more information about 2a02:d480:4c0:10d4:42::3 :
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '2a02:d480:4c0::/48'
% Abuse contact for '2a02:d480:4c0::/48' is 'abuse@mpi-klsb.mpg.de'
inet6num: 2a02:d480:4c0::/48
netname: DE-MPG-004c0
country: DE
admin-c: JH383-RIPE
tech-c: JH383-RIPE
status: ASSIGNED
abuse-c: MIA80-RIPE
mnt-by: MPG-MNT
created: 2018-06-26T09:54:14Z
last-modified: 2018-06-26T09:54:14Z
source: RIPE
person: Joerg Herrmann
address: Max-Planck-Institut fuer Informatik
address: Campus E1 4
address: 66123 Saarbruecken
address: Germany
phone: +49 681 9325 5801
fax-no: +49 681 9325 5801
nic-hdl: JH383-RIPE
mnt-by: DFN-NTFY
created: 1970-01-01T00:00:00Z
last-modified: 2017-04-10T13:47:53Z
source: RIPE # Filtered
% Information related to '2a02:d480::/32AS680'
route6: 2a02:d480::/32
descr: DFN-V6-MPG1
origin: AS680
mnt-by: DFN-MNT
mnt-routes: MPG-MNT
created: 2013-11-13T12:33:38Z
last-modified: 2023-07-11T11:08:04Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.112 (BUSA)
Lines containing failures of 2a02:d480:4c0:10d4:42::3 (max 1000)
Regards,
Fail2Ban
sshd のジャーナルログ
5月 22 22:34:12 shimakaze.magic-object.mydns.jp sshd[31888]: User root from 2a02:d480:4c0:10d4:42::3 not allowed because not listed in AllowUsers
5月 22 22:34:12 shimakaze.magic-object.mydns.jp sshd[31888]: userauth_pubkey: signature algorithm ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
5月 22 22:34:21 shimakaze.magic-object.mydns.jp sshd[31888]: Connection closed by invalid user root 2a02:d480:4c0:10d4:42::3 port 39788 [preauth]
5月 22 23:33:15 shimakaze.magic-object.mydns.jp sshd[32954]: User root from 2a02:d480:4c0:10d4:42::3 not allowed because not listed in AllowUsers
5月 22 23:33:15 shimakaze.magic-object.mydns.jp sshd[32954]: userauth_pubkey: signature algorithm ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
5月 22 23:33:24 shimakaze.magic-object.mydns.jp sshd[32954]: Connection closed by invalid user root 2a02:d480:4c0:10d4:42::3 port 39964 [preauth]
5月 23 00:33:13 shimakaze.magic-object.mydns.jp sshd[34053]: User root from 2a02:d480:4c0:10d4:42::3 not allowed because not listed in AllowUsers
5月 23 00:33:13 shimakaze.magic-object.mydns.jp sshd[34053]: userauth_pubkey: signature algorithm ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
5月 23 00:33:22 shimakaze.magic-object.mydns.jp sshd[34053]: Connection closed by invalid user root 2a02:d480:4c0:10d4:42::3 port 47282 [preauth]
攻撃の内容
ログなどから察するに、「root」アカウントに対してログインを試みていた様子である。
当然の事だが SSH のポートである 22 番は開放しておらず、どうしてインターネット側から攻撃されたのかが暫く分からなかった。
そして、ログを観察してみると、ドイツやイギリスなどからも同様の攻撃があった事が判明した。
だが、SSH に関しても ACL (アクセス制限リスト)を設定しており、信頼できるホスト以外からのログインは許可していなかったために、実害は無かったのが幸いだった。
侵入経路は?
一般的には、おおよそ1割の会社にはバックドアが存在するとも言われている。
Linux の世界でも「xz バックドア」問題などが発生した関係上、それらを疑ったのだが、nmap コマンドなどを利用してバックドアを探したのだが、見つからなかった。
当然、各マシンには全てファイヤーウォールを実装している関係上、バックドアではないとの結論に至った。
ルーターの設定の確認
ポートの開放は IPv4 のみで行っており、それ以外ではポート開放の設定は当然行っていなかった。
だが設定を見直してみると「PPPoEブリッジ」がオンになっていた。
「PPPoEブリッジ」はゲーム接続などに用いる設定であり、IPv6 のブリッジ(素通り)を実現する機能である。
だが、ゲーム接続では決まったポート番号などが存在しない事もあって、IPv6の全てのポートを開放しているのと同様の状態である事が判明した。
しかも、使用している NTT ルーター(RT-500MI)には、「PPPoEブリッジ」のポート制限などの機能は存在しなかったのである。
どうやら IPv6 の攻撃などにも対処が必要な時代になったらしい
インターネットを通じた攻撃は IPv4 が主流であり、IPv6 を使った攻撃は珍しかった。
と言うのも、IPv6 ではアドレスが余っており、常時30億を越えるデバイスが存在するために、攻撃者自信が何を攻撃しているのかよく分からなかったと言うのもある。
だが、IPv6 の環境が整った事もあり、国などを特定できる状態にはなった。 とは言え、ドメイン名に関連付いているアドレスは少ない状態だが、IoT 機器などの普及によりインターネットに接続されたデバイが多くなったのも事実である。
例えば「ネットワークカメラ」などは簡単接続などを売り文句にしているが、ファイヤーウォールなどのセキュリティ機能を有しているモノは殆ど無く、セキュリティーの観点から見れば無いも同然と言われている。例えば「INSECAM」などに代表されるように、知らず知らずの内に家の中を世界に配信しているカメラなども多数存在する。
必要が無ければ、「PPPoEブリッジ」やパススルーはオフにする
今回は自分の不注意から「PPPoEブリッジ」がオンになっていたのが原因だったのだが、IPv6 に関する知識不足を痛感した攻撃だった。