複数のボットネットが、TP-Linkルーターの約1年前に発見されたコマンドインジェクションの脆弱性を悪用してIoTデバイスを攻撃し、分散型サービス拒否(DDoS)攻撃に利用している。この脆弱性はCVE-2023-1389として追跡され、TP-Link Archer AX21 (AX1800) Wi-FiルーターのWeb管理インターフェースに存在し、バージョン1.1.4 Build 20230219以前のデバイスに影響を与える。既にこの脆弱性に対するパッチは提供されているが、未パッチのデバイスが攻撃者によって標的にされている。
Fortiguard Labs Threat Researchのブログ投稿によると、Moobot、Miori、AGoent、Gafgytの変種、および有名なMiraiボットネットの変種がこの脆弱性を悪用している。この脆弱性はルーターの管理インターフェースの「Country」フィールドに対するサニタイズが行われていないため、攻撃者が悪意のある活動を行い、デバイスに侵入することを可能にする。
攻撃者は「country」というフォームをクエリして「write」操作を行い、その結果として「set_country」関数が呼び出され、「merge_config_by_country」関数によって指定された「country」フォームの引数がコマンド文字列に連結され、その後「popen」関数によって実行される。
これらのボットネットは、DDoS攻撃やその他の悪意のある活動にデバイスを利用するために、この脆弱性を悪用している。TP-Linkは昨年、この脆弱性がMiraiボットネットによって悪用されていることを認識していたが、それ以降、他のボットネットやMiraiの変種も脆弱なデバイスに対する攻撃を行っている。
Fortiguardは、IoT環境を標的とするデバイスの脆弱性を悪用するボットネット攻撃は「容赦ない」と指摘し、ユーザーに対してDDoSボットネットに対する警戒を呼びかけている。攻撃からTP-Linkデバイスを保護するためには、影響を受けるデバイスに対して利用可能なパッチを適用することが推奨される。
【ニュース解説】
TP-LinkルーターのWeb管理インターフェースに存在する約1年前に発見されたコマンドインジェクションの脆弱性(CVE-2023-1389)が、複数のボットネットによって悪用されている事例が報告されています。この脆弱性は、特定のフォーム(「country」フィールド)に対する入力値のサニタイズが不十分であるため、攻撃者が任意のコマンドを実行し、デバイスを乗っ取ることを可能にします。影響を受けるのは、TP-Link Archer AX21 (AX1800) Wi-Fiルーターのバージョン1.1.4 Build 20230219以前です。
この脆弱性を悪用することで、攻撃者はデバイスを制御し、分散型サービス拒否(DDoS)攻撃などの悪意のある活動に利用することができます。Moobot、Miori、AGoent、Gafgytの変種、およびMiraiボットネットの変種など、複数のボットネットがこの脆弱性を標的にしています。
このような攻撃は、IoT(モノのインターネット)デバイスのセキュリティが依然として重要な課題であることを示しています。デバイスの脆弱性を悪用されることにより、個人や企業のネットワークが危険にさらされる可能性があります。特に、未パッチのデバイスは攻撃者にとって魅力的な標的となります。
この問題に対処するためには、ユーザーはデバイスのファームウェアを最新の状態に保ち、セキュリティパッチを迅速に適用することが重要です。また、デバイスのセキュリティ設定を適切に管理し、不要なサービスを無効にすることも、攻撃のリスクを低減するために有効な手段です。
この事例は、IoTデバイスのセキュリティがいかに重要であるか、そして、セキュリティ対策が適切に行われていない場合にどのようなリスクが生じるかを示しています。ユーザー、開発者、メーカーは、セキュリティを継続的に向上させるための取り組みを怠らず、新たな脅威に対して常に警戒を怠らないことが求められます。
from Various Botnets Pummel Year-Old TP-Link Flaw in IoT Attacks.
