Old Vulnerability, New Attacks: Botnets Swarm Exploited CVE-2023-1389 in TP-Link Routers
2024/04/16 SecurityOnline — TP-Link Archer AX21 ルーターの既知の脆弱性を狙った大規模な攻撃について、FortiGuard Labs のサイバー・セキュリティ専門家たちが警鐘を鳴らしている。この脆弱性は1年前に修正されたものであるが、パッチの未適用のデバイスを悪用する攻撃者により、危険なボットネットの増加に拍車が掛かっている。これらのボットネットには、Moobot/Mirai などが含まれており、それぞれが異なる悪意のアクティビティに特化している。
脆弱性 CVE-2023-1389
一連の攻撃の中核には、脆弱性 CVE-2023-1389 がある。TP-Link Archer AX21 の Web 管理インターフェースで発見された、この脆弱性の悪用に成功したハッカーたちは、ルーターのパスワードを必要とせずに悪意のコードを注入できる。つまり、ロックされていないバックドアになると考えてほしい。
ボットネット: ルーターをハッカーの武器に変える
感染してしまったルーターは、実質的にハッカーのボットネットに組み入れられる。FortiGuard Labs の研究者は、いくつかの主要プレイヤーを、以下のように分析している:
- AGoent:このマルウェアは、Command and Contorl サーバとの秘密リンクを確立し、感染させたルーター上でランダムに生成される、ユーザー名とパスワードを報告する。
- Gafgyt 亜種: このボットネットは、分散型サービス拒否 (DDoS) 攻撃に重点を置いており、Web サイトやネットワーク全体のクラッシュを目的とし、圧倒的な量の偽トラフィックを流し込んでくる。
- Moobot/Miraiの亜種: これらのボットネットは、さらに多くのデバイスへと感染を広げることに特化している。サイバー犯罪者の指示に従い、さまざまな攻撃を仕掛けることが可能となる。
- Condi このマルウェアは、感染したシステムを混乱させ、重要なシャットダウン機能を削除し、監視するために設計されている。最近は、セキュリティ・ソフトウェアの停止のため機能をアップデートし、さらに攻撃能力を強化している。
自分自身を守る 緊急対策
- 直ちにパッチを当てる: TP-Link Archer AX21 を利用しているユーザーは、TP-Linkの公式サポートサイトでファームウェア・アップデートを確認し、すぐに適用すべきである。
- 強力なパスワード: ルーターの管理パネルには、複雑でユニークなパスワードを使用してほしい。デフォルトのパスワードは絶対に避けるべきだ。
- セキュリティの基本: すべてのデバイス (コンピュータ/電話/スマート家電) に対して、常に最新のセキュリティ・パッチを適用する。どうしても必要な場合を除き、ルーターのリモート管理機能は無効化する。
- 高度な保護の検討: 定評のあるファイアウォールやセキュリティ・ソフトウェア・スイートは、ホーム・ネットワークに対して、もう1つの防御層を追加する。
進行中の戦い
FortiGuard Labs の専門家たちは、「DDoS ボットネットに対する警戒を怠らず、速やかにパッチを適用して、ネットワーク環境を感染から保護すべきだ。ユーザーにとって必要なことは、悪意の脅威アクターのボットとなるのを防ぐことだ」と述べている。
脆弱性の新旧は問わず、脅威アクターたちは、脆弱なシステムやデバイを狙い続けてきます。この脆弱性 CVE-2023-1389 は、CVE-2023-1389 の「TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX:Mirai による悪用も検出」で説明されているように、その当時も Mirai に悪用されていました。しかし、いまもなお、脆弱なデバイスが放置されていることで、攻撃が止まらないようです。ご利用のチームは、いま一度、ご確認ください。よろしければ、TP-Link で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.