🛡 概要
D-Linkは、既にサポート終了(EoL・2021年)となった無線ルータDIR-878の全モデル・全ハードウェア改版に影響するリモートコード実行(RCE)脆弱性を警告しています。研究者Yangyifanにより技術詳細とPoCが公開済みで、悪用容易性が高い点が懸念です。製品は中古・新品ともに流通(約75〜122米ドル)しており、利用継続中の個人・SOHO・支社拠点での曝露が現実的に存在します。D-Linkは当該機種に対するセキュリティ更新を提供せず、アクティブサポート機種への置き換えを推奨しています。CISAは本件を“中程度”と評価していますが、公開PoCはボットネット運用者の関心を集めやすく、短期間で大規模スキャン・自動化攻撃に取り込まれるリスクがあります。CVSS公式スコアは未公表(本稿執筆時点)です。
🔍 技術詳細
今回公表された4件は以下の通りです(いずれもDIR-878全系統が対象)。
- CVE-2025-60672: SetDynamicDNSSettingsのパラメータが入力検証なしでNVRAMに保存され、後段のシステムコマンドに埋め込まれる設計により、未認証のリモート攻撃者がコマンドインジェクションを実行可能。例として、HTTP管理API/SOAPのヘッダやフォーム値にシェルメタ文字(; | ` $() など)を混入させると、dns更新処理経由で/bin/shが実行され得ます。
- CVE-2025-60673: SetDMZSettingsのIPアドレス値をサニタイズせずにiptablesコマンドに埋め込むため、未認証のリモート攻撃者はIPフィールドにコマンド断片を注入し、ルータ上で任意コマンド実行が可能。WAN側から管理UIが到達可能、またはUPnP/ポート開放の設定次第でインターネット経由の悪用が成立します。
- CVE-2025-60674: USBストレージの“Serial Number”フィールドが過大な場合にスタックオーバーフローが発生。物理的接続、もしくはUSBデバイスをエミュレートする装置による攻撃が必要ですが、成功すれば権限あるコード実行へ発展する可能性があります。
- CVE-2025-60676: /tmp/new_qos.ruleに保存されるQoS関連フィールドが無検証のままベンダ独自バイナリからsystem()で処理されるため、任意コマンド実行が可能。未認証の設定エンドポイント経由で値を書き込ませる攻撃が現実的です。
これらはいずれも認証不要の経路が含まれる点が重大です(60674のみ物理/USBレベル)。多くの環境では管理UIのWAN公開は既定で無効ですが、リモート管理を有効化していたり、UPnPや誤ったポート転送により外部へ露出している例は珍しくありません。仮に外部非公開でも、LAN内マルウェアや来訪者端末からルータへ攻撃が届くため、境界装置が単一障害点となり、ボット化・踏み台化のリスクが高まります。PoC公開済みであるため、短時間で大規模スキャンへの取り込みが起きると想定すべきです。
⚠ 影響
- ルータの完全制御(設定改ざん、ファーム改変、持続化)
- ボットネットへの組み込み、DDoS攻撃の踏み台化
- トラフィック盗聴・改ざん(DNSハイジャック、MITM)
- 内部ネットワークへの横展開(スキャン、脆弱端末探索)
CVSS: 公式スコア未公表(CISAは中程度と評価)。ただしRCEかつPoC公開という状況から、実運用リスクは環境要因(WAN露出・運用設定)により高止まりする可能性があります。
🛠 対策
- 即時置換: DIR-878はEoLのためパッチ提供なし。現行サポート中のビジネス向けSOHO/SMBルータへ交換。
- 移行までの緊急緩和(自己責任):
- WANからの管理UI全遮断(リモート管理無効化、UPnP無効化、ポート転送削除)
- 上位FWでHTTP/HTTPS towards ルータ管理IPをブロック、ACLで管理は限定端末からのみ
- DNSを外部の安全なリカーサへ固定し、ルータ経由の動的更新を禁止
- 未知のUSB機器をルータに接続しない(60674対策)
- 設定バックアップ取得後、必要最小限設定で初期化(ただし恒久対策には非ず)
- 交換後の恒久対策: ベンダサポート期間管理、ファーム自動更新、管理平面のゼロトラスト化(管理ネット分離+多要素認証)、UPnP原則禁止、観測・検知の常態化。
📌 SOC視点
- ネットワーク/NIDS: HTTP管理エンドポイントへの異常アクセス検知。例: SOAPAction/URIに「SetDynamicDNSSettings」「SetDMZSettings」「QoS」等を含み、パラメータにシェル記号(; | & ` $())が混入するリクエスト。
- フロー/プロキシ: ルータ自身からの異常アウトバウンド(wget/curl相当のHTTP GET、未知のC2宛てTCP/UDP)。急増する小サイズUDP/TCPトラフィックはDDoS参加の兆候。
- Syslog: ルータのリモートsyslogを有効化し収集。iptables適用時のエラー、QoS適用ログ、DDNS更新直後の不審メッセージを相関。
- EDRの限界: ルータ上にEDRは導入不可。境界FW/IDS、SPANミラーリング、外形監視(ヘルスチェック)の多層検知で補完。
📈 MITRE ATT&CK
- TA0001 初期アクセス / T1190 Exploit Public-Facing Application: 管理Web/API(SetDynamicDNSSettings/SetDMZSettings等)への未認証入力を悪用するRCE。
- TA0002 実行 / T1059.004 Unix Shell: system()経由でシェルメタ文字を解釈させ、/bin/shで任意コマンドを実行。
- TA0011 C2 / T1105 Ingress Tool Transfer: 攻撃後にwget/curl等でボット/スクリプトを取得する典型連鎖。
- TA0040 影響 / T1498 Network Denial of Service: 乗っ取ったSOHOルータがDDoSボットとして悪用される可能性。
- TA0001 初期アクセス / T1200 Hardware Additions: 60674はUSBデバイスのシリアル処理を悪用する物理/USB経路。
根拠: 公開情報では未認証の設定APIに対するコマンドインジェクションと、system()呼び出しが中心であり、典型的な公開アプリ脆弱性悪用→シェル実行→ペイロード取得の鎖に合致します。USB経路は物理的手段に該当します。
🏢 組織規模別助言
- 〜50名(SOHO/小規模): 直ちに機器交換。それまでWAN管理無効化、UPnP停止、管理用端末を限定。ISP提供CPEへの切替も検討。
- 50〜500名(中規模): 資産台帳でEoL境界装置を特定しプロジェクト化。上位FWでの管理面遮断、拠点に仮想アプライアンス/SD-WANを配備。NIDSを本社集約で可視化。
- 500名以上(大規模): 調達ポリシでEoL機器持込み禁止、ゼロタッチ置換の展開計画。ネットワーク分離(管理/利用/IoT)、露出監査(ASM)で外部公開を継続監視。MDRと連携しボット化兆候の狩り込みを自動化。
🔎 類似事例
- RondoDox等のボットネットがSOHOルータの既知欠陥を多数取り込む動向
- Aisuruボットネットによる大規模DDoS(Azureに対し15.72 Tbps)
- CVE-2019-17621(D-Link DIR-859の未認証コマンドインジェクション)
- CVE-2021-20090(Arcadyan系ルータのパストラバーサル。影響対象に一部D-Link系モデルを含む)
🧭 次の一手
- EoLネットワーク機器の棚卸しと置換ロードマップ作成(CIS Control 1/2)。
- 暫定運用中のDIR-878向けにNIDSシグネチャを適用(SetDynamicDNSSettings/SetDMZSettings+メタ文字検知)。
- 次に読む: 「SOHO/SMBルータ選定・運用チェックリスト(サポート期間/自動更新/ACL/MFA)」「ASMでの外部公開監査入門」「NIST CSFを用いた境界装置ライフサイクル管理」。
