- TP-Linkが旧型SOHOルーターの2つの脆弱性を修正
- 中国の脅威グループQuad7がボットネットを使い大規模なパスワードスプレー攻撃を実施
- ルーターがサポート終了にもかかわらず、深刻な脆弱性のためファームウェアアップデートが提供された
TP-Linkは、一部の小規模オフィス/家庭用(SOHO)ルーターに影響する2つの脆弱性を修正しました。これらは中国の攻撃者によって悪意のあるボットネットの作成に利用され、Microsoft 365アカウントを標的とした攻撃に使われていました。
TP-Linkはセキュリティアドバイザリで、Archer C7およびTL-WR841N/NDルーターに対し、CVE-2025-50224とCVE-2025-9377という2つの脆弱性が連携して悪用されていたと報告しました。前者は中程度の深刻度(6.5/10)の認証バイパス脆弱性、後者は高い深刻度(8.6/10)のリモートコマンド実行(RCE)脆弱性です。
標的となったルーターはサポート終了(EoL)となっており、通常はセキュリティアップデートやパッチの提供対象外です。しかし、攻撃の深刻さを考慮し、TP-Linkはファームウェアアップデートを提供する決断をしました。
CISAの警告
これらの脆弱性を悪用しているグループはQuad7(別名7777)と呼ばれる中国の脅威アクターで、国家支援のサイバースパイ活動にも関与しているとされています。
今回、このグループはボットネットを利用してMicrosoft 365アカウントへのパスワードスプレー攻撃を実施しました。特定の層を狙っているわけではなく、誰もが等しくリスクにさらされています。
Malwarebytesの調査によると、一部のISPは顧客にTP-Link製ルーターを提供しており、ユーザーに自宅やオフィスで使用している機器を再確認するよう呼びかけています。
「複数のISPがTP-Link Archer C7やTL-WR841N/NDルーターを使用し、顧客向けにリブランドして配布している場合もあります。特にヨーロッパや北米で顕著です。例えば、オランダのISPであるZiggoは、TP-Link Archer C7を“Wifibooster Ziggo C7”としてリブランドし、Ziggo専用ファームウェアを搭載して顧客に提供しています。」と述べています。
同時に、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)もこれらの脆弱性に関する勧告を発表しました。8月3日(水)、CVE-2025-9377は既知の悪用脆弱性(KEV)カタログに追加され、FCEB機関には3週間以内にパッチ適用またはハードウェア交換が求められています。
実際、CISAは最近、CyberInsiderが報じたように、CVE-2023-50224(なりすましによる認証バイパス脆弱性)やCVE-2020-24363(TDDP_RESET POSTリクエストによる工場出荷時リセットおよび再起動トリガー)など、3件のTP-Link脆弱性をKEVに追加しています。
出典: Malwarebytes
