ルーターをbotネット化する試みか ASUSやCisco製品が狙われる
ルーターを攻撃用のbotネット化する試みが続いているようだ。狙われているのはASUSやCiscoのルーターだ。
9000台以上のASUS製のルーターに対する攻撃キャンペーンが数カ月も続いている。サイバーセキュリティ関連のサービスを提供し、インターネット全体のスキャン活動を続けるGreyNoiseの研究者は、これがbotネットの構築に向けた前兆の可能性があると警告した。
ASUSとCiscoルーターに潜む脆弱性、知らぬ間に乗っ取られる危険性
GreyNoiseの研究者は2025年5月28日(注1)、攻撃者がブルートフォースによるログインの試行や、「CVE-2023-39780」として追跡されているコマンドインジェクションに関連する脆弱(ぜいじゃく)性を利用した認証回避を通じてルーターに侵入し(注2)、システムコマンドを実行していると記した。
GreyNoiseのマシュー・レマクル氏(シニアリサーチャー)によると、2025年3月にASUS製のルーターに対する3件の不審なHTTP POSTのリクエストを検知しており、このときに初めて疑わしい活動を確認したという。
ASUSは最近のファームウェアアップデートで脆弱性に対するパッチをリリースしたが、GreyNoiseによると、攻撃者による最初の回避の試みには共通脆弱性識別子(CVE)が割り当てられていないという。さらにファームウェアを更新する前にルーターが侵害されていた場合、セキュアシェルプロトコル(SSH)のアクセスを明示的に無効化しない限り、バックドアがデバイスに残り続けると研究者は指摘した。
影響を受けたデバイスの数に関するGreyNoiseの集計は、攻撃対象領域の可視化サービスを提供するCensysによるスキャンの結果に基づく(注3)。
研究者はこの攻撃キャンペーンの背後にいる攻撃者を特定していないが、使われた戦術は高度な持続的脅威として認識されている「APT」グループの手口と一致している。攻撃者はルーターが再起動されたりファームウェアがアップグレードされたりした後も、デバイスの支配を維持し続けるという。
GreyNoiseによると、政府関係者や業界パートナーから、脆弱性の公表と修正の手続きを調整するまで公表を遅らせるよう要請があったという。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の広報担当者は、この件に関するコメントを控え、質問がある場合はASUSに問い合わせるよう促した。
Ciscoのルーターも狙われている
AI による脅威検知サービスを提供するSekoia.ioが2025年5月19日週に発表したレポートでは(注4)、今回の攻撃キャンペーンが脅威グループ「ViciousTrap」に結び付けられている。同グループはハニーポットに似たネットワークを作り出すために5500台以上のデバイスを侵害したという。
Sekoia.ioの研究者たちによると、ViciousTrapはSOHO向けのルーターやサーバに組み込まれたベースボード管理コントローラー、デジタルビデオレコーダーなどのさまざまなエッジデバイスを監視し、これらの脆弱性を悪用しようと試みているようだ。
Cisco Systemsの中小企業向けのブランド「Cisco Small Business」のルーターのウェブ管理インタフェースの脆弱性「CVE-2023-20118」もViciousTrapによって悪用されていた。これはSekoia.ioが突き止めたことだ(注5)。この脆弱性を利用すると、攻撃者はルートレベルの権限を取得し、許可されていないデータにアクセスできるようになる。
Cisco Systemsはこの脆弱性を修正する更新プログラムをリリースしない方針を示したが(注6)、管理者がデバイス内の影響を受ける機能を無効化できるよう支援するガイダンスを発表した。
出典:Thousands of ASUS routers compromised in sophisticated hacking campaign(Cybersecurity Dive)
注1:GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers(GreyNoise)
注2:CVE-2023-39780(CVE)
注3:Hosts(Censys)
注4:ViciousTrap - Infiltrate, Control, Lure: Turning edge devices into honeypots en masse.(Sekoia.io)
注5:CVE-2023-20118 Detail(NIST)
注6:Cisco Small Business RV016, RV042, RV042G, RV082, RV320, and RV325 Routers Vulnerabilities(Cisco Systems)
関連記事
VPNの穴を突く大規模攻撃 botネットで実行か
サイバーセキュリティを提供する各社の製品に対するbotネットを利用したしつこい攻撃が始まった。どのような攻撃なのだろうか。
”古くて新しい”DDoS攻撃 2025年は最大規模に到達
DDoS攻撃は歴史のあるサイバー攻撃だ。対応手段が開発されているため、あまり重要ではないと考えられることもある。だが、そのような見方は間違っている。
シスコ製品がまた狙われた 必ずパッチを適用しよう
ネットワーク機器の脆弱性を狙ったサイバー攻撃が止まらない。Cisco Systems製品を利用している場合は提供されているパッチを適用しよう。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- Microsoft Copilotを使いこなせない人に共通する“思い込み”とは?
- なぜExcelは使いにくいままなのか? 330人に聞いた便利な点、不満な点【調査続編】
- マクロ地獄、属人化を覚悟しても「使うしかない」Excel利用現場の課題【2025年調査】
- 乗客75%減、どん底のANAはAIでこの危機をどう乗り越えたのか?
- VPNとは? 4種類あるVPNの違いと導入費用、製品の選択肢、注意点を解説
- 意外と知らない「Word」の使い方 基本機能から品質向上に使えるAI機能まで
- 図解で分かる「Microsoft Copilot」のデータ漏えい防止機能とは
- 情シスは多忙でも「あのツール」は使わない おカネ以外の3つの理由とは?
- 「RPAオワコン」説に迫る 生成AI時代到来で業務自動化はどう変わったか【まとめ読み】
- Googleも警告、全スマホユーザーがカモにされる新手のサイバー攻撃とは?
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。