Zyxel Vulnerability Exploited by DDoS Botnets on Linux Systems
2023/07/20 InfoSecurity — Zyxelファイアウォールで発見された深刻な脆弱性が、分散型サービス拒否 (DDoS) ボットネットに積極的に悪用されている。Fortinet のセキュリティ研究者たちが特定した、この脆弱性 CVE-2023-28771 は Linux プラットフォームに影響を及ぼすものだ。この脆弱性の悪用に成功したリモートの攻撃者は、脆弱性のあるシステムを不正に制御し、DDoS 攻撃を行うことが可能になる。
Fortinet の Senior Antivirus Analyst である Cara Lin は、7月20日 (水) に公開されたブログ記事で、「この脆弱性はコマンド・インジェクションの脆弱性に起因しており、攻撃者は特別に細工したパケットを標的の Zyxel デバイスに送信することで、任意のコードを実行できる。この脆弱性の CVSS スコアは 9.8 であり、TRAPA Security の研究者により報告された」と述べている。
Fortinet の調査により明らかになった脆弱性の詳細は、2023年4月25日に Zyxel に報告された。その一方で CISA は5月に、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、野放し状態で活発に悪用されていることを警告した。
この脆弱性が公開された後、5月の時点で Fortinet は、悪意の活動が増加していることを確認しました。同社は、悪用トラフィックのキャプチャを通じて、この攻撃が中央アメリカ/北米/東アジア/南アジアで観測されていることを確認した。
Cara Lin によると、Mirai ベースにした亜種 Dark.IoT などの複数の DDoS ボットネットが、この脆弱性を悪用して攻撃を仕掛けていることを、Fortinet は発見したとのことだ。彼女は、Linux プラットフォームと Zyxel ファイアウォールを使用している組織に対して、利用可能なパッチとアップデートを優先的に適用し、リスクを軽減するよう推奨している。
Cara Lin は、「この脅威に効果的に対処するためには、可能な限り迅速にパッチとアップデートを適用することが極めて重要である。これらのデバイスのセキュリティを確保するために、積極的な対策を講じることを強く推奨する」と述べている。
先日には、Recorded Future の CISO である Jason Stee が、2023年に増加している DDoS 攻撃と、ランサムウェア・ギャングとの関連性について指摘していた。それから数カ月後に、今回の Fortinet のレポートが発表された。
Zyxel ファイアウォールの脆弱性 CVE-2023-28771 ですが、このブログだけでも、今回で4日目の登場となります。以下の関連記事をみると、5月の時点で Mirai による攻撃が検知されていますが、その勢いが止まらないようです。速やかなパッチ適用が推奨されています。
2023/05/26:Mirai が Zyxel をハッキング:CVE-2023-28771
2023/05/22:Zyxel:root 権限での OS コマンド実行 PoC
2023/04/28:RCE 脆弱性 CVE-2023-28771 などが FIX
IoT OT Security News 
You must be logged in to post a comment.