サイバーセキュリティ研究者は、既知の脆弱性CVE-2023-33538を使用して、脆弱なTP-Linkルータを狙った攻撃試行の急増を検出しました。
脅威行為者は、インターネット上で露出したデバイスをアクティブにスキャンし、Miraiボットネットマルウェアの亜種に感染させようとしています。
攻撃は主に、サポート終了となった古いTP-Linkルータモデルを対象としており、これらはもはやセキュリティアップデートを受け取っていません。これらのデバイスは広く使用されているままであり、大規模なボットネットを構築しようとしている攻撃者にとって魅力的なターゲットになっています。
分析によると、攻撃者は脆弱なルータに特別に細工されたHTTPリクエストを送信しています。これらのリクエストは、ルータのウェブ管理インターフェースのコマンドインジェクション脆弱性を悪用しようとしています。
成功した場合、攻撃者はデバイス上で悪意のあるコマンドを実行し、マルウェアペイロードをダウンロードできます。
悪意のある活動には、Mirai亜種のように動作するバイナリファイルのダウンロードが含まれます。実行されると、マルウェアはコマンド・アンド・コントロール(C2)サーバーに接続し、命令を待ちます。
その後、分散型サービス拒否(DDoS)攻撃の実行や他のデバイスへの拡散など、様々なアクションを実行できます。
研究者は、攻撃スクリプトが一般的なコマンドを使用してファイルをダウンロードして実行し、実行前に完全なパーミッションを付与しようとすることを観察しました。これらの動作はMiraiベースのボットネット感染の典型的なものです。
しかし、観察されたすべての攻撃が成功するわけではありません。一部の悪用試行にはエラーが含まれており、リクエストの間違ったパラメータをターゲットにしたり、ルータの限定的なシステム環境では利用できないツールに依存したりしています。それでも、根本的な脆弱性は依然として実在し、危険です。
重要な発見は、成功した悪用にはルータの管理者インターフェースへの認証が必要だということです。つまり、攻撃者は脆弱性を悪用する前にまずログインしなければならないということです。多くの場合、ユーザーがデフォルト認証情報を変更しないままにしているため、これが容易になっています。
「admin:admin」のようなデフォルトユーザー名とパスワードは依然として広く使用されており、攻撃者がアクセスを取得しやすくなっています。
認証されたら、脆弱性のあるパラメータを介してコマンドを注入し、潜在的にデバイスを制御できます。
ユーザーは、古いデバイスを交換し、デフォルトログイン認証情報を変更し、ルータ管理インターフェースへのリモートアクセスを制限することを強くお勧めします。
これらの基本的な手順は、侵害のリスクを大幅に削減し、デバイスがMiraiのようなボットネットに勧誘されるのを防ぐことができます。
翻訳元: https://cyberpress.org/mirai-hits-tp-link-routers/
