Akamaiのセキュリティインシデント対応チーム(SIRT)は、Tenda AC1206ルーターとn8nワークフロー自動化プラットフォームの最近公開された脆弱性を悪用するZerobotという名称のボットネットキャンペーンが継続中であることを発見しました。
このマルウェアキャンペーンはMiraiボットネットファミリーと関連しており、2026年1月中旬に最初に特定され、デバイスに感染して悪意のあるコードを実行するために幅広い脆弱性を標的にしています。
Zerobotマルウェアは、CVE-2025-7544とCVE-2025-68613という2つの特定のCVEを悪用しており、どちらもAkamaiのグローバルハニーポットが活発な悪用を観察する前に公開されていました。
2025年7月中旬に発見されたこの欠陥は、deviceListパラメータへの入力の不適切な処理に起因し、攻撃者がリモートコードを実行し、潜在的にサービス妨害(DoS)攻撃を開始することができます。
この脆弱性を悪用することで、攻撃者は影響を受けるデバイス上で任意のコマンドを実行できます。
この脆弱性の概念実証(PoC)エクスプロイトが公開されており、脆弱性のあるエンドポイントに細工されたリクエストを送信することで簡単にトリガーできます。
この問題により、攻撃者はn8nワークフローにおける不安全な式の評価を悪用して、サーバー上で任意のコードを実行できます。
認証されていないユーザーは、この脆弱性を悪用して環境変数、APIキー、設定ファイルなどの機密データにアクセスできます。
n8nが様々な業界の重要インフラの運用に使用されていることを考えると、この欠陥はネットワーク内での横展開を可能にする可能性があるため注目に値します。
Zerobotマルウェアキャンペーンは、これらの脆弱性を悪用してMiraiベースのボットネットペイロードをデプロイします。AkamaiのSIRTは攻撃が実際に行われているのを観察し、攻撃者はTendaルーターの脆弱性を悪用してバッファオーバーフローを実行していました。
これにより、ボットネットは悪意のあるシェルスクリプトtol.shをインストールでき、その後、プライマリZerobotマルウェアペイロードをダウンロードして実行します。
攻撃はグローバルハニーポットネットワーク全体で観察され、攻撃者は積極的にリモートコードを実行し、侵害されたシステムの制御を獲得していました。
現在のイテレーションのZerobotは、Vercelホストのドメインからペイロードをダウンロードし、悪意のあるスクリプトを難読化するなど、高度な回避技術を使用しています。
デプロイされると、Zerobotボットネットはコマンド&コントロール(C2)サーバーに接続し、様々な攻撃を実行します。
これらには、ブラウザ認証情報、SSHキー、Gitリポジトリを対象とするマルチステージ情報盗聴ツールキットのダウンロードが含まれ、最終的に機密の開発者データを盗みます。
n8nのような広く使用されているIoTデバイスと重要インフラプラットフォームを標的とすることは、一見無関係な技術の脆弱性がどのように兵器化される可能性があるかを示しています。
Tendaルーターまたはn8nプラットフォームを使用している組織は、これらの継続的な悪用がもたらすリスクを軽減するために、システムを迅速にパッチ適用する必要があります。
定期的な更新、異常トラフィックの監視、ネットワーク検出ツールの活用は、このような脅威から保護するために不可欠です。
翻訳元: https://cyberpress.org/zerobot-exploits-tenda-vulnerability/