Desbordamiento del informe TSUBAME (octubre-diciembre de 2023) – JPCERT/CC Eyes
Esta serie de informes adicionales de TSUBAME analiza las tendencias de monitoreo de los sensores TSUBAME en el extranjero y otras actividades que los informes trimestrales de monitoreo de amenazas de Internet no incluyen. Este artículo cubre los resultados del monitoreo para el período de octubre a diciembre de 2023. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos aquí.
Paquetes observados de productos en desarrollo.
JPCERT/CC analiza los datos recopilados por TSUBAME diariamente. En este artículo, me centraré en un producto desarrollado por un desarrollador japonés que encontramos mientras analizamos los datos e investigamos las direcciones IP de la fuente de escaneo. Se abrieron varios puertos en la dirección IP de origen y pudimos ver la interfaz de usuario web asociada con varios productos. En tales casos, existe una alta posibilidad de que el usuario haya configurado el reenvío de puertos. Por lo tanto, nos comunicamos con el desarrollador identificado en la WebUI para informarle del problema y preguntarle sobre el producto que se estaba utilizando. El desarrollador respondió de inmediato y resultó que ellos mismos instalaron y utilizaron el producto. Luego tuvimos una conferencia telefónica con el desarrollador y supimos que lo más probable es que el producto se hubiera visto comprometido por malware mientras se desarrollaba con el producto de otra empresa integrado y conectado a Internet. Además, el administrador no se dio cuenta hasta que se le señaló que la WebUI de otro producto que se convirtió en el punto de entrada inicial había sido expuesta. Vemos casos similares varias veces al año y, por lo tanto, los presentamos a los desarrolladores de productos en seminarios y otros eventos. Si es desarrollador de productos y no tiene ningún contacto con JPCERT/CC, tome nota de los siguientes tres puntos:
- Verifique las especificaciones al integrar productos de otros desarrolladores.
- Si las especificaciones permiten una red cerrada, utilícela y no asigne una dirección IP global (a menudo se pasan por alto las especificaciones de la tarjeta SIM).
- Después de la instalación, realice una exploración de puertos para comprobar si hay puertos abiertos no deseados.
Creo que casos similares seguirán ocurriendo en el futuro. Si recibe un correo electrónico de JPCERT/CC sobre información sobre vulnerabilidades o uso del producto, agradeceríamos su respuesta y cooperación.
Comparación de las tendencias de observación en Japón y en el extranjero.
La Figura 1 es una comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero. Los sensores extranjeros recibieron más paquetes que los de Japón.
Figura 1: Comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero |
Comparación de tendencias de seguimiento por sensor
Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 1 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP y 80/TCP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.
Tabla 1: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros
#1 | #2 | #3 | #4 | #5 | #6 | #7 | #8 | #9 | #10 | |
Sensor en Japón #1 | 23/TCP | 22/TCP | 6379/TCP | 8080/TCP | 80/TCP | ICMP | 443/TCP | 3389/TCP | 445/TCP | 4719/TCP |
Sensor en Japón #2 | 37215/TCP | 23/TCP | 6379/TCP | ICMP | 22/TCP | 8080/TCP | 80/TCP | 3389/TCP | 445/TCP | 443/TCP |
Sensor en Japón #3 | 23/TCP | 6379/TCP | 22/TCP | 8080/TCP | 80/TCP | 443/TCP | 3389/TCP | ICMP | 445/TCP | 4719/TCP |
Sensor en el extranjero #1 | 23/TCP | 80/TCP | 8080/TCP | 22/TCP | 445/TCP | 3389/TCP | 443/TCP | 1433/TCP | ICMP | 8081/TCP |
Sensor en el extranjero #2 | 23/TCP | ICMP | 445/TCP | 22/TCP | 80/TCP | 8080/TCP | 3389/TCP | 443/TCP | 1433/TCP | 2375/TCP |
Sensor en el extranjero #3 | 443/TCP | 23/TCP | 445/TCP | 8080/TCP | 22/TCP | 6379/TCP | 37215/TCP | 80/TCP | ICMP | 3389/TCP |
Para concluir
El monitoreo en múltiples ubicaciones nos permite determinar si ciertos cambios están ocurriendo solo en una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.
Keisuke Shikano
(Traducido por Takumi Nakano)