Infectedslurs Botnet Targets QNAP Viostor Nvr Vulnerability
2023/12/17 SecurityAffairs — 2023年11月の時点で Akamai は、InfectedSlurs という新たな Mirai ベースの DDoS ボットネットが、2つのゼロデイ脆弱性を活発に悪用して、Router や NVR (Network Video Recorder) 機器に感染していることを警告していた。このボットネットが研究者たちに発見されたのは 2023年10月だったが、遅くとも 2022年から活動していたと見られている。専門家たちは、これらの2つの脆弱性を個々の製造元に報告していたが、2023年12月に修正プログラムがリリースされる予定だという。 C
Akamai のアドバイザリが公開された当時では、影響を受けたベンダーの名前は明らかにされていなかった。その一方で研究者たちは、このボットがデフォルトの管理者認証情報も使用して、Mirai 亜種をインストールしていることを特定した。
現在も進行中である、このキャンペーンを詳しく調査したところ、ホテルや住宅向けに構築された無線 LAN ルーターも、このボットの標的にされていることが判明した。
12月6日に、Akamai の Security Intelligence Response Team (SIRT) は、InfectedSlurs に関する一連のアドバイザリの、最初のアップデートを発表した。同社は、この脅威アクターに悪用されている脆弱性の1つが、CVE-2023-49897 (CVSS:8.0) であることを明らかにした。この脆弱性の影響を受ける製品は、Future X Communications (FXC) の AE1021/AE1021PE ルーターなどであり、ファームウェア・バージョン 2.0.9 以下を実行しているものとなる。
さらに 12月14日には、影響を受けたベンダーの1社として、QNAP がアドバイザリとガイダンスを発表したことを受け、Akamai SIRT は追加の情報を発表した。その時に追加されたのは、InfectedSlurs ボットネットが悪用する、もう1つの脆弱性である CVE-2023-47565 (CVSS スコア:8.0) についての情報だ。
この脆弱性は、QNAP VioStor NVR デバイスのリモート・コード実行の脆弱性であり、VioStor NVR 5.0.0 以下 (5.0.0 は 2014年6月21日にリリース) に影響を及ぼすものだ。
Akamai は新たなアドバイザリで、「QNAP は、これらのデバイスのサポートを終了したとしているが、既存デバイスの VioStor ファームウェアを、現時点で提供されている最新バージョンへとアップグレードすることを、同社は推奨している。この問題は以前にパッチが適用されていたが、オープンに報告/公表されることはなかった」と述べている。
Akamai SIRT は、脆弱なデフォルト認証情報を抱えたまま出荷された、QNAP VioStor NVR デバイスを標的とするボットによる悪用を発見した。最初の2つのゼロデイと同様に、IoT/NVR デバイスの NTP 設定に存在する、OS コマンド・インジェクションの脆弱性が、それらのデバイスで悪用される可能性があるという。
Akamai のレポートには、「今回も、カスタム・ハニーポット・ネットワークの展開により、サイバー攻撃に関する貴重な洞察が得られ、これまでに検知されていなかった脆弱性が明らかになった。デフォルトの認証情報や、サポート切れのネットワーク・システムの存在が、ボットネット感染の経路として浮上している。レガシー・システムに存在する新たな脆弱性は、マルウェアを増殖させる肥沃な大地である」と締め括っている。
消えたと思うと蘇ってくる Mirai と、静かだと思うと騒がしくなる QNAP ですね。Mirai に関しては、2023/10/10 の「Mirai DDoS マルウェアの亜種を検出:13種類のルーターを悪用するための武器とは?」と、2023/11/23 の「Mirai ボットネットによる大規模な DDoS 攻撃:Router/NVR のゼロデイ脆弱性を悪用」が、気になっていたところです。よろしければ、QNAP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.