Skip to main content

Desbordamiento del informe TSUBAME (enero-marzo de 2024) – JPCERT/CC Eyes

junio 23, 2024


Esta serie de informes adicionales de TSUBAME analiza las tendencias de monitoreo de sensores TSUBAME en el extranjero y otras actividades que los informes trimestrales de monitoreo de amenazas de Internet no incluyen. Este artículo cubre los resultados del monitoreo para el período de enero a marzo de 2024. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos aquí.

Impactos en Japón a partir de las observaciones en el año fiscal 2023

JPCERT/CC analiza los datos recopilados por TSUBAME diariamente. En este artículo, me centraré en los incidentes en Japón según las observaciones del año fiscal 2023. De los paquetes enviados a sensores instalados en Japón y en el extranjero, la mayor cantidad de paquetes estaban dirigidos a 23/TCP, y de los paquetes dirigidos a 23/TCP, aproximadamente el 70% eran paquetes tipo Mirai, ambos para paquetes enviados desde IP en el extranjero. direcciones a sensores instalados en Japón y para paquetes enviados desde Japón a sensores instalados en el extranjero. Además, cuando se recopiló información utilizando navegadores web y SHODAN para direcciones IP en Japón para identificar dispositivos, las cámaras de vigilancia y los DVR fabricados por proveedores extranjeros fueron los productos más comunes identificados, seguidos por los NAS y enrutadores fabricados por proveedores extranjeros. Hubo cambios en la naturaleza de los ataques, incluido el uso de vulnerabilidades descubiertas recientemente en 2023, así como combinaciones de paquetes a números de puerto distintos de 23/TCP. Aunque el número es pequeño, hubo casos en los que los DVR fabricados por proveedores nacionales o productos en desarrollo por proveedores se vieron afectados por ataques. Basándonos en los resultados de las observaciones e investigaciones de JPCERT/CC, proporcionamos información sobre las vulnerabilidades utilizadas en los ataques a los desarrolladores de productos relevantes y discutimos con ellos las contramedidas. También visitamos el sitio para ver el equipo y los registros y discutimos contramedidas. Además, investigamos información relacionada con las direcciones IP de origen utilizando WHOIS y proporcionamos datos de observación a empresas nacionales a través de comunidades como CSIRT. Como resultado, hemos confirmado que el problema se ha resuelto. Al instalar nuevos dispositivos en una organización, se recomienda verificar qué tipo de reglas existen para el acceso desde Internet. Después de la instalación, también se recomienda realizar un escaneo de puertos para verificar si hay puertos innecesarios abiertos, o usar SHODAN u otras herramientas para verificar. Suponiendo que habrá información de ataques de este tipo sobre productos nacionales y fuentes de paquetes sospechosos en el año fiscal 2024, TSUBAME planea continuar proporcionando datos de observación y ayudar a resolver problemas.

Comparación de las tendencias de observación en Japón y en el extranjero.

La Figura 1 es una comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero. Los sensores extranjeros recibieron más paquetes que los de Japón.

Figura 1: Comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero

Comparación de tendencias de seguimiento por sensor

Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 1 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP, 8080/TCP, 80/TCP e ICMP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.

Tabla 1: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros

  #1 #2 #3 #4 #5 #6 #7 #8 #9 #10
Sensor en Japón #1 23/TCP 6379/TCP 22/TCP 80/TCP 3389/TCP 8080/TCP ICMP 443/TCP 8728/TCP 445/TCP
Sensor en Japón #2 23/TCP ICMP 80/TCP 443/TCP 6379/TCP 8080/TCP 22/TCP 8088/TCP 8443/TCP 445/TCP
Sensor en Japón #3 23/TCP 6379/TCP 22/TCP ICMP 80/TCP 3389/TCP 8080/TCP 8728/TCP 443/TCP 37215/TCP
Sensor en el extranjero #1 445/TCP 23/TCP 443/TCP 80/TCP ICMP 37215/TCP 6379/TCP 22/TCP 3389/TCP 8080/TCP
Sensor en el extranjero #2 23/TCP 445/TCP 80/TCP 3389/TCP 6379/TCP 22/TCP 8080/TCP 443/TCP ICMP 8728/TCP
Sensor en el extranjero #3 ICMP 23/TCP 80/TCP 443/TCP 6379/TCP 8080/TCP 8088/TCP 22/TCP 8443/TCP 3389/TCP

Para concluir

El monitoreo en múltiples ubicaciones nos permite determinar si ciertos cambios están ocurriendo solo en una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.

Keisuke Shikano

(Traducido por Takumi Nakano)



Source link

Translate »