分散型サービス妨害(DDoS)ボットネットが、Zyxelのファイアウォールモデルで見つかった重大な脆弱性を積極的に悪用するために使用されています。
Fortinetのセキュリティ研究者がCVE-2023-28771として特定したこの欠陥は、Linuxプラットフォームに明確に影響します。
この脆弱性を悪用することで、リモートの攻撃者は脆弱なシステムを不正に制御下に置き、DDoS攻撃を実行できるようになります。
7月20日(水)に公開されたブログ投稿でこの脆弱性について述べたFortinetのシニア・アンチウイルス・アナリストであるCara Lin氏は、これはコマンドインジェクションの脆弱性に起因し、攻撃者が標的のZyxelデバイスに特別に細工したパケットを送信することで任意のコードを実行できるようになると述べました。
「この欠陥の深刻度はCVSSスコアリングシステムで9.8と評価され、TRAPA Securityの研究者によって報告されました」とLin氏は書いています。
Fortinetの調査で脆弱性が明らかになった後、Zyxelは2023年4月25日に速やかにセキュリティアドバイザリを公開しました。それにもかかわらず、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は5月にこの欠陥を追加して既知の悪用されている脆弱性(KEV)カタログに掲載し、実環境での能動的な悪用を示しました。
脆弱性の公表を受けて、Fortinetは悪意ある活動の増加を観測しており、特に5月に顕著でした。エクスプロイトトラフィックの捕捉を通じて、Fortinetは攻撃が中米、北米、東アジア、南アジアで観測されていることを確認できました。
特にLin氏は、FortinetがMiraiをベースにした亜種であるDark.IoTを含む複数のDDoSボットネットが、この脆弱性を悪用して攻撃を仕掛けていることを発見したと述べました。
Miraiマルウェアについて詳しく読む:新たなMirai亜種のキャンペーンがIoTデバイスを標的に
このアンチウイルス・アナリストは、LinuxプラットフォームとZyxelファイアウォールを使用している組織に対し、リスクを軽減するために利用可能なパッチと更新の適用を優先するよう推奨しました。
「この脅威に効果的に対処するには、可能な限りパッチと更新の適用を優先することが極めて重要です。これらのデバイスのセキュリティを確保するために、積極的な対策を講じることを強く推奨します。」
今回のFortinetの新たなアドバイザリは、Recorded FutureのCISOであるJason Steer氏が4月の分析で、2023年におけるDDoS攻撃の増加と、その傾向がランサムウェア集団とどのように結び付いているかを強調してから数か月後に出されたものです。
翻訳元: https://www.infosecurity-magazine.com/news/zyxel-flaw-exploited-ddos-botnets/
