ルーターをbotネット化する試みか ASUSやCisco製品が狙われる
ルーターを攻撃用のbotネット化する試みが続いているようだ。狙われているのはASUSやCiscoのルーターだ。
9000台以上のASUS製のルーターに対する攻撃キャンペーンが数カ月も続いている。サイバーセキュリティ関連のサービスを提供し、インターネット全体のスキャン活動を続けるGreyNoiseの研究者は、これがbotネットの構築に向けた前兆の可能性があると警告した。
ASUSとCiscoルーターに潜む脆弱性、知らぬ間に乗っ取られる危険性
GreyNoiseの研究者は2025年5月28日(注1)、攻撃者がブルートフォースによるログインの試行や、「CVE-2023-39780」として追跡されているコマンドインジェクションに関連する脆弱(ぜいじゃく)性を利用した認証回避を通じてルーターに侵入し(注2)、システムコマンドを実行していると記した。
GreyNoiseのマシュー・レマクル氏(シニアリサーチャー)によると、2025年3月にASUS製のルーターに対する3件の不審なHTTP POSTのリクエストを検知しており、このときに初めて疑わしい活動を確認したという。
ASUSは最近のファームウェアアップデートで脆弱性に対するパッチをリリースしたが、GreyNoiseによると、攻撃者による最初の回避の試みには共通脆弱性識別子(CVE)が割り当てられていないという。さらにファームウェアを更新する前にルーターが侵害されていた場合、セキュアシェルプロトコル(SSH)のアクセスを明示的に無効化しない限り、バックドアがデバイスに残り続けると研究者は指摘した。
影響を受けたデバイスの数に関するGreyNoiseの集計は、攻撃対象領域の可視化サービスを提供するCensysによるスキャンの結果に基づく(注3)。
研究者はこの攻撃キャンペーンの背後にいる攻撃者を特定していないが、使われた戦術は高度な持続的脅威として認識されている「APT」グループの手口と一致している。攻撃者はルーターが再起動されたりファームウェアがアップグレードされたりした後も、デバイスの支配を維持し続けるという。
GreyNoiseによると、政府関係者や業界パートナーから、脆弱性の公表と修正の手続きを調整するまで公表を遅らせるよう要請があったという。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の広報担当者は、この件に関するコメントを控え、質問がある場合はASUSに問い合わせるよう促した。
Ciscoのルーターも狙われている
AI による脅威検知サービスを提供するSekoia.ioが2025年5月19日週に発表したレポートでは(注4)、今回の攻撃キャンペーンが脅威グループ「ViciousTrap」に結び付けられている。同グループはハニーポットに似たネットワークを作り出すために5500台以上のデバイスを侵害したという。
Sekoia.ioの研究者たちによると、ViciousTrapはSOHO向けのルーターやサーバに組み込まれたベースボード管理コントローラー、デジタルビデオレコーダーなどのさまざまなエッジデバイスを監視し、これらの脆弱性を悪用しようと試みているようだ。
Cisco Systemsの中小企業向けのブランド「Cisco Small Business」のルーターのウェブ管理インタフェースの脆弱性「CVE-2023-20118」もViciousTrapによって悪用されていた。これはSekoia.ioが突き止めたことだ(注5)。この脆弱性を利用すると、攻撃者はルートレベルの権限を取得し、許可されていないデータにアクセスできるようになる。
Cisco Systemsはこの脆弱性を修正する更新プログラムをリリースしない方針を示したが(注6)、管理者がデバイス内の影響を受ける機能を無効化できるよう支援するガイダンスを発表した。
出典:Thousands of ASUS routers compromised in sophisticated hacking campaign(Cybersecurity Dive)
注1:GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers(GreyNoise)
注2:CVE-2023-39780(CVE)
注3:Hosts(Censys)
注4:ViciousTrap - Infiltrate, Control, Lure: Turning edge devices into honeypots en masse.(Sekoia.io)
注5:CVE-2023-20118 Detail(NIST)
注6:Cisco Small Business RV016, RV042, RV042G, RV082, RV320, and RV325 Routers Vulnerabilities(Cisco Systems)
関連記事
VPNの穴を突く大規模攻撃 botネットで実行か
サイバーセキュリティを提供する各社の製品に対するbotネットを利用したしつこい攻撃が始まった。どのような攻撃なのだろうか。
”古くて新しい”DDoS攻撃 2025年は最大規模に到達
DDoS攻撃は歴史のあるサイバー攻撃だ。対応手段が開発されているため、あまり重要ではないと考えられることもある。だが、そのような見方は間違っている。
シスコ製品がまた狙われた 必ずパッチを適用しよう
ネットワーク機器の脆弱性を狙ったサイバー攻撃が止まらない。Cisco Systems製品を利用している場合は提供されているパッチを適用しよう。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- マクロ地獄、属人化を覚悟しても「使うしかない」Excel利用現場の課題【2025年調査】
- 社員2万人へのMicrosoft Copilot導入を突然中止、その企業に一体何が?:836thLap
- 失敗しない「Microsoft Copilot」活用術 社員がAIを使いこなす職場にするには?
- Windows 11移行後、ファイルサーバに接続不能 やりがちなNG対応と回避策
- 誰でもマルウェアが作れる時代に 専門家が警鐘「今の対策ではマズイ」
- AI好きは知っているが、一般知名度が低い「Claude」でできること【「ChatGPT」比較レビュー】
- “もう限界”だったNASからの脱却、脱ファイルサーバしたらAI活用も進んだ企業の話
- 国交省はどうやって「非構造化データの山」を使えるデータにしたのか? AI活用術
- 業界のトレンドリーダーであり続けるためにRPAによるデジタライゼーションを加速させる善都の挑戦
- 2023年もWindows 11は「様子見」、Microsoftの“賭け”が失敗した原因は?
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。