Cisco の脆弱性 CVE-2023-20118 を積極的に悪用：PolarEdgeという名の洗練されたバックドア

Hackers Exploiting Cisco Small Business Routers RCE Vulnerability Deploying Webshell

2025/02/25 gbhackers — Cisco Small Business Router に影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2023-20118 が、Web シェルや高度なバックドア・ペイロードを展開するサイバー犯罪者の注目を集めている。

Cisco ルーターの Web ベースの管理インターフェイスにおける、不適切な入力検証により発生する、この脆弱性の悪用に成功した未認証の攻撃者は、特別に細工された HTTP リクエストを送信することで、任意のコマンド実行の可能性を手にする。

Sekoia.io の Threat Detection & Research (TDR) チームが観察したのは、この脆弱性が 2025年1月下旬から積極的に悪用されているという現実である。

悪用されたルーターによる Web シェルの展開

前述のとおり、2025年1月22日〜1月31 日に、この脆弱性を悪用する攻撃者が、標的とする Cisco ルーターに対して、Web シェルを展開している状況が確認されている。

この攻撃は、Web シェルの存在を確認するための、偵察コマンドの実行から始まる。Web シェルが存在しない場合には、HTTP リクエストに悪意のペイロードを埋め込むことで、それを攻撃者はデプロイする。

この Web シェルは Base64 でエンコードされ、gzip により圧縮された後に、ルーターの認証スクリプトに挿入され、永続性が確保される。デプロイされた Web シェルはコマンドを実行するために、HTTP ヘッダーの PASSHASH パラメータを介して受け渡される認証キーを必要とする。

このメカニズムにより、攻撃者は侵害したデバイスを制御しながら、検出の可能性を低減していく。ただし、今回の分析で特定された、スキャン中に感染したルーターは４台だけであり、この Web シェルの機能は、主として第２段階のマルウェアの配信メカニズムだったと示唆される。

高度な TLS バックドアとボットネット活動

そして 2025年2月10日は、より洗練された悪用パターンが出現した。攻撃者は、ボットネット活動を示す複数の IP アドレスからの、同時攻撃の展開を調整していた。

これらの攻撃には、FTP 経由で “q” という名前のシェル・スクリプトの、ダウンロードと実行が取り込まれていた。この スクリプトは、MIPS64 アーキテクチャ用に設計された、cipher_log と呼ばれる TLS バックドア・ペイロードをインストールするものだ。

このバックドアは、Command and Control (C2) サーバとの、暗号化された通信チャネルを確立するための、永続性と自己隠蔽のメカニズムを組み込んでいた。

PolarSSL (現在は Mbed TLS) 証明書を使用していることから、研究者が PolarEdge と名付けたボットネットは、世界中の 2,000 台を超えるデバイスに感染している。同様の手法を用いることで、Cisco ルーター以外にも、 Asus／QNAP／Synology などのデバイスも標的にしているという。

このボットネットのインフラには、Huawei Cloud でホストされている配信サーバと、Green Floid LLC にリンクされたレポート・サーバが含まれている。PolarEdge ボットネットは、悪意の目的でエッジ・デバイスを悪用するための、高度な技術を示している。さまざまなアーキテクチャに合わせて調整されたペイロードには、暗号化された通信や永続性メカニズムなどの高度な機能が取り込まれている。

このボットネットの最終的な目的は不明だが、サイバー攻撃を開始するための Operational Relay Box (ORB) として機能するという仮説がある。Sekoia.io の TDR チームは、この脅威を注意深く監視しながら、ユーザー組織に対しては、脆弱なデバイスに速やかにパッチを適用するよう促している。

脆弱性 CVE-2023-20118 の悪用が浮き彫りにするのは、ますます巧妙化する敵対者によるリスクを軽減するための、エッジ・デバイス管理における堅牢なセキュリティ対策の重要性である。

Cisco Small Business Router の脆弱性を悪用するバックドアが確認されました。Cisco のアドバイザリによると、この脆弱性 CVE-2023-20118 が存在する製品は、すでにサポートが終了しているとのことです。ここのところ、Cisco 製品の悪用が続いていますので、ご利用のチームは十分にご注意下さい。よろしければ、以下の関連記事も、Cisco で検索と併せて、ご参照下さい。

2025/02/20：Salt Typhoon が Cisco の脆弱性 CVE-2018-0171 を悪用
2025/02/14：Salt Typhoon の標的は Cisco の CVE-2023-20198／20273