Zyxel NAS Devices Under Attack: CVE-2024-29973 Exploitation Attempts by Mirai-Like Botnet
2024/06/23 SecurityOnline — Zyxel NAS デバイスの脆弱性 CVE-2024-29973 (CVSS:9.8) が、積極的に悪用されている状況を、脅威監視プラットフォーム Shadowserver が警告している。この脆弱性の悪用に成功した未認証の攻撃者には、悪意のリモート・コマンドの注入/実行が許されるため、影響を受けるデバイスのセキュリティと完全性が損なわれる可能性が生じている。なお、この脆弱性は、Outpost24 Ghost Labs の Timothy Hjort により発見されたものだ。
脆弱性 CVE-2024-29973
Zyxel NAS326/NAS542 モデルにおいて、悪用が確認された脆弱性 CVE-2024-29973 は、”setCookie” パラメータに存在するコマンド・インジェクションの欠陥に起因する。この脆弱性を悪用に成功した攻撃者は、標的デバイスの OS 上でコマンドを実行し、壊滅的な被害をもたらす可能性を手にする。発見者である Hjort による技術文書には、PoC エクスプロイト・コードが含まれており、そのことが、攻撃の急増の一因となっているようだ。
Mirai ボットネット
この悪用の試みは、乗っ取ったデバイスで大規模なボットネットを構築する、悪名高いマルウェア・ファミリー Mirai ライクな脅威アクターと関連付けられている。これらのボットネットは、分散型サービス拒否 (DDoS:distributed denial-of-service) 攻撃を仕掛けて、Web サイトやオンライン・サービスを麻痺させることで知られている。
リスクが生じるのは?
この脆弱性の影響を受ける Zyxel NAS モデルは、ファームウェア v5.21(AAZF.16) C0 以下を実行している NAS326 デバイスと、v5.21 (ABAG.13) C0 以下を実行している NAS542 デバイスである。これらのモデルはサポートが終了しているが、個人/企業により、いまも広く使用されている。
Zyxel の対応
この脆弱性の重大性を認識した Zyxel は、サポートを延長した顧客に対してパッチをリリースしている。ユーザーに対して強く勧められるのは、最新のファームウェア・バージョンである NAS326 v5.21 (AAZF.17)C0/NAS542 v5.21 (ABAG.14) C0 へとアップグレードし、侵害のリスクを軽減することだ。
対策の緊急性
Mirai ライクなボットネットによる、脆弱性 CVE-2024-29973 の積極的な悪用が浮き彫りにするのは、セキュリティ・パッチ適用の緊急性である。Zyxel NAS のユーザーにとって必要なことは、速やかに対策を講じて、不正アクセスや悪意のボットネットからデバイスを保護することだ。
専門家たちの推奨事項
セキュリティ専門家たちは、公式パッチの適用に加えて、以下の対策を推奨している:
- デフォルトのパスワードを変更し、強力でユニークな認証情報を使用する。
- 必要がなければ、リモート・アクセスを無効化する。
- ファームウェアやソフトウェアを、定期的に最新版へとアップデートする。
- ファイアウォールと侵入検知システムを導入し、不審な動きを監視する。
原文には Mirai-like と書かれているので、そのまま Mirai ライクと訳しましたが、なんらかの亜種なんだろうと思っています。この脆弱性 CVE-2024-29973 に関しては、2024/06/03 の「Zyxel NAS の深刻な脆弱性 CVE-2024-29972/29973 などが FIX:ただちにパッチを!」が、第一報となっています。よろしければ、Zyxel NAS で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.