Fortinetは10月9日(米国時間)、「IZ1H9 Campaign Enhances Its Arsenal with Scores of Exploits|FortiGuard Labs」において、「IZ1H9」として追跡されるボットネットが拡大しているとして、注意を呼び掛けた。Fortinetはこの脆弱性の深刻度を緊急(Critical)に相当すると評価している。
FortiGuard Labsチームによると、IZ1H9はマルウェア「Mirai」の亜種であり、分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を行うボットネットマルウェアとされる。IZ1H9にはLinuxベースのルータや、D-Link、Netisワイヤレスルータ、Sunhillo SureLine、Geutebruck IPカメラ、Yealinkデバイスマネージメント、Zyxel、TP-Link Archer、Korenix Jetwave、TOTOLINKなどの製品を標的とするペイロードが含まれているという。
FortiGuard LabsチームはIZ1H9に含まれる標的の製品とその脆弱性を次のとおり挙げている。
- D-Link - CVE-2015-1187、CVE-2016-20017、CVE-2020-25506、CVE-2021-45382
- Netis WF2419 - CVE-2019-19356
- Sunhillo SureLine(バージョン8.7.0.1.1より前) - CVE-2021-36380
- Geutebruck - CVE-2021-33544、CVE-2021-33548、CVE-2021-33549、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554
- Yealink Device Management - CVE-2021-27561、CVE-2021-27562
- Zyxel - Zyxel security advisory for remote code execution and denial-of-service vulnerabilities of CPE | Zyxel Networks
- TP-Link Archer AX21 (AX1800) - CVE-2023-1389
- Korenix JetWave wireless AP - CVE-2023-23295
- TOTOLINK - CVE-2022-40475、CVE-2022-25080、CVE-2022-25079、CVE-2022-25081、CVE-2022-25082、CVE-2022-25078、CVE-2022-25084、CVE-2022-25077、CVE-2022-25076、CVE-2022-38511、CVE-2022-25075、CVE-2022-25083
FortiGuard Labsチームの分析によると、IZ1H9は上記の脆弱性を悪用してデバイスへ侵入し、リモートからシェルスクリプトダウンローダ「l.sh」をダウンロードして実行するとされる。このダウンローダはログを削除して侵害を隠蔽し、さまざまなボットネットマルウェアをダウンロードして実行する。その後、デバイスのファイアウォール「iptables」の設定を変更し、特定のネットワーク接続を妨害する。こうしてIZ1H9に侵害されたデバイスは、大規模な分散型サービス拒否攻撃を行うための遠隔制御ボットに改造される。
Fortinetは上記のようなIoTデバイスは攻撃者にとって魅力的な標的としている。攻撃者はこれらデバイスの脆弱性が公開されると迅速に対応してマルウェアを改良し、ボットネットを拡大している可能性があり、先月も拡大キャンペーンが行われたとみられている。
この脅威に対抗するために、Fortinetは次に示す対策を推奨している。
- 製品を常に最新の状態にアップデートする
- デフォルトのログイン資格を必ず変更する。その際、強力なパスワードを使用する
さらに可能であれば、インターネットへの露出を避けることも推奨される。インターネットへ露出すると、脆弱性が公開された際に速やかに攻撃される恐れがある。インターネットへ露出する場合は、自動アップデートを有効にするか製品アップデートの通知を受け取る体制を整えるなどして、製品を脅威から保護することが望まれる。