ルーターをbotネット化する試みか ASUSやCisco製品が狙われる

ルーターを攻撃用のbotネット化する試みが続いているようだ。狙われているのはASUSやCiscoのルーターだ。

[David Jones，Cybersecurity Dive]

　9000台以上のASUS製のルーターに対する攻撃キャンペーンが数カ月も続いている。サイバーセキュリティ関連のサービスを提供し、インターネット全体のスキャン活動を続けるGreyNoiseの研究者は、これがbotネットの構築に向けた前兆の可能性があると警告した。

ASUSとCiscoルーターに潜む脆弱性、知らぬ間に乗っ取られる危険性

　GreyNoiseの研究者は2025年5月28日（注1）、攻撃者がブルートフォースによるログインの試行や、「CVE-2023-39780」として追跡されているコマンドインジェクションに関連する脆弱（ぜいじゃく）性を利用した認証回避を通じてルーターに侵入し（注2）、システムコマンドを実行していると記した。

　GreyNoiseのマシュー・レマクル氏（シニアリサーチャー）によると、2025年3月にASUS製のルーターに対する3件の不審なHTTP POSTのリクエストを検知しており、このときに初めて疑わしい活動を確認したという。

　ASUSは最近のファームウェアアップデートで脆弱性に対するパッチをリリースしたが、GreyNoiseによると、攻撃者による最初の回避の試みには共通脆弱性識別子（CVE）が割り当てられていないという。さらにファームウェアを更新する前にルーターが侵害されていた場合、セキュアシェルプロトコル（SSH）のアクセスを明示的に無効化しない限り、バックドアがデバイスに残り続けると研究者は指摘した。

　影響を受けたデバイスの数に関するGreyNoiseの集計は、攻撃対象領域の可視化サービスを提供するCensysによるスキャンの結果に基づく（注3）。

　研究者はこの攻撃キャンペーンの背後にいる攻撃者を特定していないが、使われた戦術は高度な持続的脅威として認識されている「APT」グループの手口と一致している。攻撃者はルーターが再起動されたりファームウェアがアップグレードされたりした後も、デバイスの支配を維持し続けるという。

　GreyNoiseによると、政府関係者や業界パートナーから、脆弱性の公表と修正の手続きを調整するまで公表を遅らせるよう要請があったという。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の広報担当者は、この件に関するコメントを控え、質問がある場合はASUSに問い合わせるよう促した。

Ciscoのルーターも狙われている

　AI による脅威検知サービスを提供するSekoia.ioが2025年5月19日週に発表したレポートでは（注4）、今回の攻撃キャンペーンが脅威グループ「ViciousTrap」に結び付けられている。同グループはハニーポットに似たネットワークを作り出すために5500台以上のデバイスを侵害したという。

　Sekoia.ioの研究者たちによると、ViciousTrapはSOHO向けのルーターやサーバに組み込まれたベースボード管理コントローラー、デジタルビデオレコーダーなどのさまざまなエッジデバイスを監視し、これらの脆弱性を悪用しようと試みているようだ。

　Cisco Systemsの中小企業向けのブランド「Cisco Small Business」のルーターのウェブ管理インタフェースの脆弱性「CVE-2023-20118」もViciousTrapによって悪用されていた。これはSekoia.ioが突き止めたことだ（注5）。この脆弱性を利用すると、攻撃者はルートレベルの権限を取得し、許可されていないデータにアクセスできるようになる。

　Cisco Systemsはこの脆弱性を修正する更新プログラムをリリースしない方針を示したが（注6）、管理者がデバイス内の影響を受ける機能を無効化できるよう支援するガイダンスを発表した。

出典：Thousands of ASUS routers compromised in sophisticated hacking campaign（Cybersecurity Dive）
注1：GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers（GreyNoise）
注2：CVE-2023-39780（CVE）
注3：Hosts（Censys）
注4：ViciousTrap - Infiltrate, Control, Lure: Turning edge devices into honeypots en masse.（Sekoia.io）
注5：CVE-2023-20118 Detail（NIST）
注6：Cisco Small Business RV016, RV042, RV042G, RV082, RV320, and RV325 Routers Vulnerabilities（Cisco Systems）