TokyoBlackHatNews

海外のセキュリティニュースをお届けします

bleepingcomputer.com

CISAが他の脆弱性の悪用を警告する中、新たなTP-Linkゼロデイが発覚

Byt0ddycat

9月 5, 2025 #AIサイバーセキュリティ, #CISA, #CWMP, #Four-Faithルーター, #Quad7ボットネット, #TP-Link, #ゼロデイ脆弱性, #バッファオーバーフロー, #ファームウェアアップデート, #リモートコード実行

Image

TP-Linkは、複数のルーターモデルに影響を与える未修正のゼロデイ脆弱性の存在を確認しました。CISAは、他のルーターの脆弱性が攻撃で悪用されていると警告しています。

このゼロデイ脆弱性は、独立系脅威リサーチャーのMehrun(ByteRay)によって発見され、彼は2024年5月11日に最初にTP-Linkに報告したと述べています。

中国のネットワーク機器大手であるTP-Linkは、BleepingComputerに対し、現在この脆弱性の悪用可能性や影響範囲について調査中であることを認めました。



ヨーロッパモデル向けのパッチはすでに開発済みと報告されていますが、米国およびグローバルファームウェアバージョン向けの修正作業が進行中で、具体的な日程は示されていません。

「TP-Linkは、ByteRayによって報告された特定のルーターモデルに影響を与える最近公開された脆弱性を認識しています」と、TP-Link Systems Inc.がBleepingComputerに送った声明には記されています。

「当社はこれらの発見を重く受け止めており、影響を受けるヨーロッパモデル向けのパッチはすでに開発済みです。現在、米国およびその他グローバルバージョン向けのアップデートの適用と迅速化に取り組んでいます。」

「当社の技術チームは、報告された内容を詳細に確認し、デバイスの影響範囲や展開条件、CWMPがデフォルトで有効かどうかなどを確認しています。」

「すべてのユーザーに対し、公式サポートチャネルを通じて入手可能となった最新ファームウェアでデバイスを常に更新することを強く推奨します。」

この脆弱性にはまだCVE-IDが割り当てられていませんが、TP-LinkのCWMP(CPE WAN管理プロトコル)実装におけるスタックベースのバッファオーバーフローで、影響を受けるルーターの数は不明です。

この脆弱性を自動汚染解析で発見したリサーチャーのMehrunは、SOAP SetParameterValuesメッセージを処理する関数に問題があると説明しています。

問題は「strncpy」呼び出しで境界チェックが行われていないことに起因し、スタックバッファサイズが3072バイトを超える場合、バッファオーバーフローによるリモートコード実行が可能となります。

Mehrun氏によると、現実的な攻撃手法としては、脆弱なデバイスを悪意のあるCWMPサーバーにリダイレクトし、巨大なSOAPペイロードを送り込んでバッファオーバーフローを引き起こすことが挙げられます。

これは、古いファームウェアの脆弱性を悪用したり、ユーザーが変更していないデフォルトの認証情報を使ってデバイスにアクセスすることで実現可能です。

RCE(リモートコード実行)によって侵害された場合、ルーターはDNSクエリを悪意のあるサーバーに再ルーティングしたり、暗号化されていないトラフィックを密かに傍受・改ざんしたり、ウェブセッションに悪意のあるペイロードを注入したりすることができます。

リサーチャーはテストを通じて、TP-Link Archer AX10およびArcher AX1500が脆弱なCWMPバイナリを使用していることを確認しました。どちらも現在複数の市場で販売されている非常に人気のあるルーターモデルです。

Mehrun氏はまた、EX141、Archer VR400、TD-W9970、そしておそらく他にも複数のTP-Link製ルーターモデルが影響を受ける可能性があると指摘しています。

TP-Linkがどのデバイスが脆弱かを特定し、修正パッチをリリースするまで、ユーザーはデフォルトの管理者パスワードを変更し、必要がなければCWMPを無効にし、デバイスの最新ファームウェアアップデートを適用してください。可能であれば、ルーターを重要なネットワークから分離してください。

CISA、悪用されているTP-Linkの脆弱性に警告

昨日、CISAは他の2つのTP-Link脆弱性(CVE-2023-50224およびCVE-2025-9377)を、Quad7ボットネットがルーターを侵害するために悪用した「既知の悪用脆弱性カタログ」に追加しました。

CVE-2023-50224は認証バイパスの脆弱性であり、CVE-2025-9377はコマンドインジェクションの脆弱性です。これらを組み合わせることで、攻撃者は脆弱なTP-Linkデバイス上でリモートコード実行を獲得できます。

2023年以降、Quad7ボットネットはこれらの脆弱性を悪用し、ルーターにカスタムマルウェアをインストールしてプロキシやトラフィックリレーに変換しています。

中国の脅威アクターは、これらの侵害されたルーターを使って悪意のある攻撃をプロキシ(中継)し、正規のトラフィックに紛れて検知を回避しています。

2024年には、Microsoftが観測したところ、脅威アクターはこのボットネットを用いてクラウドサービスやMicrosoft 365に対するパスワードスプレー攻撃を実施し、認証情報の窃取を狙っていました。

翻訳元: https://www.bleepingcomputer.com/news/security/new-tp-link-zero-day-surfaces-as-cisa-warns-other-flaws-are-exploited/

By t0ddycat

Related Post

bleepingcomputer.com

最大深刻度のArgo CD APIの脆弱性がリポジトリ認証情報を漏洩

9月 6, 2025 t0ddycat
bleepingcomputer.com

Microsoft、米国の学生にMicrosoft 365 Personalを1年間無料提供

9月 5, 2025 t0ddycat
bleepingcomputer.com

時代遅れのIGAがセキュリティ、コンプライアンス、成長を妨げないようにしましょう

9月 5, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

bleepingcomputer.com

最大深刻度のArgo CD APIの脆弱性がリポジトリ認証情報を漏洩

2025年9月6日 t0ddycat
cybersecuritydive-com

マリオット、テクノロジー変革の中でAIエージェントを検討

2025年9月6日 t0ddycat
cybersecuritydive-com

スイス再保険、サイバー保険の料率悪化を警告

2025年9月6日 t0ddycat
thehackernews.com

TAG-150がPythonとCでCastleRATを開発、CastleLoaderマルウェアの活動を拡大

2025年9月6日 t0ddycat