Tenda AC1206ルータの重大な脆弱性CVE-2025-7544とn8nワークフロー自動化プラットフォームのCVE-2025-68613という2つの重大な脆弱性を悪用した活発なZerobotキャンペーンが、Zerobotv9というMiraiベースのペイロードをデプロイしています。
このキャンペーンは、一般的なダウンロードツールとマルチアーキテクチャバイナリを使用して、侵害されたシステムを急速にボットネットに登録し、サービス拒否攻撃およびさらなる侵入操作に利用することができます。
Zerobotオペレータは、複数の最近のCVEを組み合わせて、従来のIoTと高価値なアプリケーションインフラの両方にわたって、到達可能な攻撃面を最大化しています。
Tenda AC1206デバイスは、多くの小規模オフィスおよびホームデプロイメントでインターネットに対して脆弱な/goform/setMacFilterCfgエンドポイントを公開しており、一括で侵害するために魅力的です。
活動は最初にAkamai honeypots全体で2026年1月に観察されました。これは2025年7月と12月の開示以来、これらの問題の最初に公開された野生環境での悪用となっています。
並行して、同じインフラストラクチャはエンタープライズ自動化パイプラインで使用されるn8nインスタンスを調査しており、これはカメラ、DVR、ルータに通常焦点を当てるMiraiベースのボットネットにとって異常だが危険なシフトです。
CVE-2025-7544の詳細と悪用
CVE-2025-7544は、Tenda AC1206ファームウェアバージョン15.03.06.23のformSetMacFilterCfgハンドラー内の重大なスタックベースのバッファオーバーフローで、deviceListパラメータによってトリガーされます。
過度に長いdeviceListの値を持つ細工されたHTTPリクエストは、リモートの認証されていない攻撃者がスタックメモリを上書きし、ルータ上の任意のコード実行を取得することを可能にします。
公開されたエクスプロイトコードは、数千の「A」文字を含む単純なGETリクエストがデバイスをクラッシュさせるか、デバイスを制御するのに十分であることを示しており、攻撃者の参入障壁を大幅に低下させます。
Zerobotキャンペーンでは、バッファオーバーフローは外部サーバーからtol.shという名前のスクリプトをダウンロードして実行するシェルコマンドの配信ベクトルとして使用されます。
ペイロードチェーンは複数のディレクトリを試行し、アーティファクトとシェル履歴をクリーンアップして法医学的な可視性を減らす前に、wget、curl、TFTP、およびFTPを冗長なダウンロードメカニズムとして依存しています。
CVE-2025-68613は、n8nサーバー側ワークフロー式評価エンジンの重大なリモートコード実行脆弱性で、0.211.0から1.120.4までのバージョン、および1.121.1と1.122.0に影響します。
式は完全にサンドボックス化されていないため、ワークフローを作成または変更する権利を持つ認証されたユーザーは、意図されたコンテキストを回避し、n8nプロセスの権限で任意のOS レベルのコマンドを実行する悪意のある式を作成できます。
悪用には有効な低特権アカウントとインスタンスへのネットワークアクセスのみが必要であり、認証情報盗難またはインサイダー悪用が現実的な侵害の経路になります。
Zerobotは、Tendaに対して見られた同じコマンドシーケンスを再利用し、ワークフロー実行リクエストに埋め込むので、サーバーはtol.shを取得し、最終的にZerobotv9 Miraiベースのバイナリをロードします。
n8nがデータベース、SaaS攻撃プラットフォーム、および内部APIに接続されているエンタープライズ環境では、初期RCEが成功すると、そのようなアクセスは横方向移動とデータ盗難のためにも悪用される可能性があります。
Zerobotv9ペイロードと動作
tol.shスクリプトは、x86、x86_64、MIPS、ARM、PowerPCなど、幅広いCPUアーキテクチャ用にコンパイルされたZerobotv9バイナリを取得するマルチステージローダーであり、ボットネットが異種のIoTおよびサーバーハードウェアで実行できるようにします。
ペイロードはUPXパックされており、ハードコードされたコマンド&コントロールドメイン0bot.qzz[.]ioや馴染みのあるMiraiコンソール文字列などの暗号化された構成要素を含んでおり、元のMiraiコードベースとの強い系統を示しています。
より新しいZerobotv9サンプルは、TCPXmas、SSH、Mixamp、「Discord」メソッドなどの攻撃ルーチンを追加し、古典的なMiraiフィーチャーセットを超えて、DDoSと悪用機能を拡張しています。
Tenda AC1206ルータの管理者は、ファームウェア15.03.06.23を実行しているデバイスを直ちに特定し、インターネット公開を制限または削除し、パッチが利用できない場合はベンダーアップデートまたは補償制御を適用する必要があります。
n8nを使用している組織は、修正されたリリース(1.120.4、1.121.1、または1.122.0以降)にアップグレードし、ワークフロー編集権限を信頼できるユーザーに厳密に制限し、最小限のOSおよびネットワーク権限を持つ堅牢でセグメント化された環境でn8nを実行する必要があります。
ネットワークディフェンダーは、文書化されたC2ドメインと既知のホスティングIPへのアウトバウンド接続、およびルータと自動化サーバーから発生する疑わしいwget、curl、またはTFTP使用も監視する必要があります。
翻訳元: https://gbhackers.com/zerobot-malware/
