記事本文(要約)
セキュリティ企業GreyNoiseは、ASUSの家庭用および小規模オフィス向けルーターが3月中旬からマルウェアキャンペーンによりバックドアノードとして利用されていると報告しました。この攻撃では、ブルートフォースログインや古い認証バイパスの脆弱性、2023年のコマンドインジェクションの脆弱性(CVE-2023-39780)が悪用され、ルーターが完全に制御されます。GreyNoiseは約9,000台のASUSルーターが侵害されていると推定しています。さらに、フランスのSekoiaが中国語話者の「ViciousTrap」により、5,500台以上のエッジデバイスがハニーポット化されていると警告しました。攻撃者は、NVRAMに攻撃者制御の公開鍵を保存し、SSHアクセスを確保しており、この手口は高度な技術を持つ敵対者を示唆しています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 29 May 2025 14:28:57 +0000
Original URL: https://www.securityweek.com/greynoise-flags-9000-asus-routers-backdoored-via-patched-vulnerability/
詳細な技術情報
この脆弱性に関する文章から、特定のセキュリティに関する詳細情報を分析し、以下に示します。
CVE番号
- CVE-2023-39780: この脆弱性は、ASUSルーターの複数のラインで発見されたコマンドインジェクションの脆弱性に関連しています。ベンダーによって最近のファームウェア画像でパッチが適用されています。
脆弱性の仕組み
- 攻撃者は、ルーターの管理エンドポイントにアクセスするために、弱い認証情報を推測するか、認証バイパスの技術を利用します。その後、コマンドインジェクションの脆弱性(CVE-2023-39780)を使用して、システムコマンドを実行し、デバイスを完全に制御します。
攻撃手法
- 攻撃者は、ブルートフォース攻撃、未割り当ての認証バイパス技術、およびコマンドインジェクションバグを組み合わせて攻撃します。
- 攻撃者は、SSHを有効化し、攻撃者制御の公開鍵を不揮発性メモリに保存することで、バックドアを恒久化させます(NVRAMを使用することで、メモリが電源オフ後も保持されるため、パッチ適用後でもバックドアが持続します)。
- ログを無効化して痕跡を隠します。
潜在的な影響
- 攻撃者はルーターをバックドアノードとして利用し、ボットネットや中継インフラとして活用する可能性があります。
- ファームウェアのアップグレードや初期化によってもバックドアが消えないため、影響が持続的です。
- 漏洩したネットワーク上のトラフィック監視や、潜在的なサイバー攻撃の足場として使用され得ます。
推奨される対策
- ファームウェアのアップデート: ASUS提供の最新のファームウェアパッチを適用して、既知の脆弱性を修正する。
- 強力なパスワードの使用: 管理者の認証情報を強固なパスワードとし、ブルートフォース攻撃に耐えられるようにする。
- SSHと他の不要なサービスの無効化: 使用していない機能やサービスを無効にすることで、攻撃対象を減らす。
- ログの有効化と監視: ログを定期的に監視し、不正な活動を検知する対策を講じる。
- ネットワークモニタリングツールの活用: ネットワーク活動の異常を検知するために、専門のネットワーク監視ツールを導入する。
