ハッカーを逆ハッキング:Mirai Botnet の脆弱性 CVE-2024-45163 を活用する PoC が登場!

Hacking the Hacker: Researcher Found Critical Flaw (CVE-2024-45163) in Mirai Botnet

2024/08/25 SecurityOnline — 2016年以降において IoT とサーバの環境を悩ませてきた、悪名高いマルウェア Mirai ボットネット内に深刻な脆弱性が存在することを、セキュリティ研究者である Jacob Masse が明らかにした。この脆弱性 CVE-2024-45163 (CVSS 9.1) を活用することで、Mirai ボットネットの C2 サーバに対するリモート・サービス拒否 (DoS) 攻撃が可能になり、その運用が麻痺させる可能性が生じている。


Miraiの悪名は、膨大な数のデバイスを侵害する能力に起因するが、特に IP カメラや家庭用ルーターといった消費者向け電子機器が被害にあっている。それらのデバイスを Mirai がボットネットに徴用できるのは、弱いデフォルト・パスワードや既知の脆弱性の悪用による。このボットネットは、そららのデバイスに命令して、DDoS 攻撃の開始やスパムの送信といった悪意のある活動に従事させる、ゾンビのような大規模なネットワークである。 そのプロセスにおいて C2 サーバは極めて重要な役割を果たし、ボットネット・オペレーターが攻撃を調整するコマンド・ハブとして機能する。したがって、C2 サーバの活動を妨害できれば、ボットネットを効果的に無力化し、ゾンビ軍団を無力化できる。

この脆弱性を発見するという Jacob Masse の旅は、個人的な挑戦として始まったが、にボットネットの内部の仕組みに焦点を当てるという研究プロジェクトへと発展した。彼の調査は、あらゆるボットネットの心臓部である C2 サーバにつながるものであり、ソースコード分析やリバース・エンジニアリングなどを、継続的に組み合わせていく実験でもあった。そして Masse は、Mirai C2 サーバが着信接続を処理する方法において、特に事前認証フェーズにおいて、欠陥が存在することを特定した。

この脆弱性 CVE-2024-45163 は、同時接続要求に対するサーバの不適切な管理に起因するものだ。したがって 攻撃者が、C2 サーバへの多数の接続を開き、”root” などのユーザー名を使用して単純な認証要求を送信すると、サーバにおける不適切な接続の管理が引き起こされる。それにより、サーバのセッション・バッファが過負荷になり、リソースが枯渇し、最終的にはクラッシュへといたる。注目すべきことに、このエクスプロイトには認証が不要なため、リモートで簡単に実行できるという。

この脆弱性 CVE-2024-45163 の影響は、以下のように広範囲に及ぶ:

  • ボットネットの混乱:この脆弱性を活用することで、Mirai ボットネットの Command and Control 機能が無効化され、ボットネットが実質的に不活性化され、攻撃から潜在的なターゲットが保護される可能性が生じる。
  • 法執行機関の機会:このエクスプロイトを、大規模なオペレーションで運用する法執行機関は、Mirai ボットネットを解体して、悪意の活動を阻止する可能性を手にする。
  • 倫理的考慮事項: セキュリティの研究を目的として、制御されたボットネット・テストを実施している企業では、このエクスプロイトにより、想定外の混乱が引き起こされる可能性ある。

Jacob Masse は、このエクスプロイトの有効性を、PoC シナリオを通じて実証している。彼のデモが実証するのは、最小限のリソース (CPU コア1個/RAM 1GB/ストレージ 25 GB ) を備えたサーバを使用して、制御された環境で Mirai C2 サーバをダウンさせるものだ。そこで必要とされる操作は、いくつかの接続を開いて認証要求を送信することだけである。このエクスプロイトが実行されると、Mirai の C2 サーバは事実上オフラインになり、攻撃側のシステム・リソースは通常に戻り、バックグラウンドで攻撃を継続できるようになる。


技術的な詳細に興味のある人のために、Masse は PoC エクスプロイト・コードを Pastebin で共有し、サイバーセキュリティ研究者と倫理的ハッカーがアクセスできるようにしている。

Mirai に脆弱性が発見され、CVE-2024-45163 が採番され、さらには、PoC エクスプロイトも共有されるという、ちょっと驚きの展開です。なんとなくワクワクしてしまいますね。こういう記事では、”exploit” を “活用” と “悪用” を上手く訳さないと、とても読み難くなるので、そんなところに注意しました。よろしければ、Mirai で検索も、ご利用ください。