Zyxel 製品に対する標的型攻撃を検出:RCE 脆弱性 CVE-2023-28771 を悪用

Zyxel Devices Under Attack as Hackers Exploit UDP Port RCE Flaw

2025/06/17 gbhackers — 2025年6月16日のことだが、Zyxel の Firewall/VPN デバイスに存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2023-28771 を悪用する、高度に協調されたグローバルなサイバー攻撃が観測された。この攻撃は、UDP ポート 500 (IKE:Internet Key Exchange packet decoder) を通じてシステム・コマンドをリモートから注入し、パッチが適用されていない Zyxel デバイスを完全に制御可能にするものだ。

セキュリティ企業 GreyNoise によると、6月16日には、短時間のうちに攻撃試行が急増しており、異常な活動の集中が確認されている。

AttributeDetails
CVE IDCVE-2023-28771
Vulnerability TypeOS Command Injection (Remote Code Execution)
Severity (CVSS v3.1)9.8 (Critical)

この攻撃に関与した 244 のユニーク IP アドレスは、それまでの2週間におけるスキャンやエクスプロイト活動では検出されなかったものである。つまり、脆弱性 CVE-2023-28771 を標的とした、同期的かつ計画的なキャンペーンが展開されたことを示している。

attack traffic
attack traffic

攻撃トラフィックは、特定の地域に限定されておらず、米国/英国/スペイン/ドイツ/インドなどの、Zyxel デバイスの普及率が高い国々の組織に集中していた。

技術的な分析

CVE-2023-28771 は、Zyxel の複数群に存在する深刻なコマンド・インジェクション脆弱性であり、CVSS スコアは 9.8 (Critical) である。この脆弱性は、ファームウェア・バージョン ZLD V4.60〜V5.35、および、 ZyWALL/USG V4.73 に存在する。

影響を受ける製品は以下のとおりである:

  • ATP (Advanced Threat Protection)
  • USG FLEX シリーズ
  • VPN シリーズ
  • ZyWALL/USG

この脆弱性を悪用する攻撃者は、UDP ポート 500 へ向けて、細工された単一の IKE パケットを送信することで、認証を必要とすることなく、リモート・コード実行を引き起こせる。

Deeper analysis of payloads
Deeper analysis of payloads

ペイロードおよび IP メタデータの詳細な分析により確認されたのは、使用されたマルウェアが Mirai ボットネットの亜種であることを示す兆候だ。それが示唆するのは、さらなる分散型サービス拒否 (DDoS) キャンペーンなどの、大規模なボットネット攻撃の一部として、侵害されたデバイスが悪用される可能性である。

malicious IPs
malicious IPs

なお、観測された悪意の IP は、すべてが Verizon Business に登録されており、地理的には米国と特定されているが、UDP ベースの攻撃であるため IP スプーフィングが可能であり、脅威アクターの正確な特定は困難だという。

防御対策

  • パッチの適用:CVE-2023-28771 を修正する最新ファームウェアを、すべての Zyxel デバイスに速やかに適用することが、ユーザーに対して強く推奨される。
  • 悪意ある IP のブロック:GreyNoise が特定した 244 の悪意の IP アドレスをブロックし、関連する活動を監視する。ただし IP スプーフィングの可能性には留意が必要である。
  • UDP ポート 500 の制限:不要な IKE (UDP/500) の公開を、ネットワーク・フィルタリングなどで制限する。
  • 異常の監視:異常なプロセス実行やボットネットへの参加などの、侵害後の兆候に注意を払う。
  • デバイス露出の確認:不要なサービスがインターネットに露出されていないことを確認し、可能であれば WAN 管理機能を無効化する。

このインシデントが浮き彫りにするのは、Zyxel デバイスを導入している組織にとっての、パッチ適用とネットワーク監視の重要性である。攻撃者はエクスプロイトの自動化やボットネット活用を加速させており、パッチ未適用のデバイスが迅速に侵害され、広範な攻撃キャンペーンの一部に組み込まれるリスクが生じている。

Zyxel 製品の RCE 脆弱性 CVE-2023-28771 を悪用する攻撃が検出されました。IKE ポートを通じた認証不要のコード実行という点と、Mirai 亜種による連携的なボットネット展開という点を、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2023-28771 で検索も、ご参照ください。