Source: https://thehackernews.com/2025/10/polaredge-targets-cisco-asus-qnap.html
🛡 概要
PolarEdgeは最近のボットネットマルウェアであり、Cisco、ASUS、QNAP、Synologyのルーターを標的にしています。この攻撃の目的は、未特定の目的でこれらのルーターをネットワークに編成することです。2025年2月にSekoiaによって初めて文書化され、その後の調査でCVE-2023-20118という既知の脆弱性を利用していることが明らかになりました。PolarEdgeは、TLSプロトコルに基づくELFインプラントで、クライアント接続を監視し、コマンドを実行する設計になっています。
🔍 技術詳細
PolarEdgeは、攻撃者がCiscoルーターの脆弱性(CVE-2023-20118)を悪用し、FTP経由でシェルスクリプト「q」をダウンロードすることで感染します。このスクリプトは、PolarEdgeバックドアを取得して実行する役割を担っています。バックドアは、ホストフィンガープリンをC2サーバーに送信し、コマンドを待機する機能を持ちます。PolarEdgeは、接続モードとデバッグモードの2つの動作モードをサポートし、TLSサーバーとして機能します。暗号化アルゴリズムを使用して情報を難読化し、コマンドを実行する際には「HasCommand」パラメータを確認します。
⚠ 影響
PolarEdgeの拡張ボットネット攻撃によって、感染したデバイスは悪用され、攻撃者の指示に従って動作する可能性があります。これにより、ネットワークのセキュリティが脅かされ、個人情報や機密データが漏洩する危険性があります。特に、感染したデバイスがSOCKS5プロキシとして利用されることで、攻撃者は他のターゲットに対する攻撃を隠蔽しやすくなります。さらに、PolarEdgeはプロセスの偽装を行い、検出を回避するための多くの手法を取り入れています。
🛠 対策
PolarEdgeによる攻撃を防ぐためには、まず、ルーターやネットワーク機器のファームウェアを最新の状態に保つことが重要です。また、強力なパスワードを設定し、不審なトラフィックを監視することも有効です。さらに、ネットワークセキュリティの専門家による定期的な脆弱性診断を受けることが推奨されます。特に、CVE-2023-20118のような既知の脆弱性に対しては、迅速に対策を講じることが求められます。
