Akamai Technologiesは11月21日(米国時間)、「InfectedSlurs Botnet Spreads Mirai via Zero-Days|Akamai」において、ボットネット構築のためにリモートコード実行(RCE: Remote Code Execution)のゼロデイの脆弱性が悪用されていると報じた。この攻撃ではマルウェア「Mirai」の亜種が悪用、デフォルトの資格情報のまま公開されているルータとネットワークビデオレコーダが標的になっているという。
このボットネットの活動を発見したAkamaiセキュリティインテリジェンス対応チーム(SIRT: Security Intelligence Response Team)は、脆弱性の発見された製品について詳細を公開していない。これはセキュリティアップデートが完成していないためで、被害の拡大を防止するために詳細を公開できないとしている。これら製品の製造元は、双方ともに2023年12月中にセキュリティアップデートを公開する予定とのこと。
Akamaiセキュリティインテリジェンス対応チームによると、影響を受けるネットワークビデオレコーダーは製造元から同様の製品が複数販売されており、複数の製品に同じ脆弱性が存在する可能性があるとしている。また、ルータに関してはJPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)との連携により、特定のデバイスに脆弱性があることを日本のメーカーが確認したとしている。このメーカーの製品のうち、影響を受ける製品が1つだけかは不明だが、悪用されている機能が一般的なものであり、他の製品にも同じ脆弱性が存在する可能性があると指摘している。
この攻撃で構築されたボットネットのコマンド&コントロール(C2: Command and Control)サーバのドメイン名には、人種差別的な形容詞、不快な言葉、一般的に不適切とされる用語が含まれるという命名規則があるとされる。このため、「InfectedSlurs」と呼ばれるボットネットが関与しているとみられ、主にマルウェア「JenX Mirai」の亜種が使用されているものとみられている。
Akamaiセキュリティインテリジェンス対応チームはこの攻撃からデバイスを保護するために、同種の製品を利用している管理者に対して次のような緩和策を提示している。
- 製品のデフォルトの資格情報を強力なものに変更する
- もしも侵害された疑いのある製品が見つかった場合は、速やかに製品をネットワークから分離する。可能であれば侵害の影響を調査して、追加の保護を実施する
- 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が提供するガイド「CISA Release Capacity Enhancement Guide to Strengthen Agency Resilience to DDoS Attack | CISA」を取り入れる
- 継続的な分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)へのセキュリテイ防御層を確立する
- ネットワーククラウドファイアウォールを導入し、プロアクティブなセキュリテイ制御を構成する
- 横方向の移動について調査し、経路を削除する
今回発見された脆弱性の影響を受ける製品の詳細は公開されていないが、Akamaiセキュリティインテリジェンス対応チームは同種の製品を使用している管理者に対し、侵害の有無を確認できるようにSnortルールとYaraルールを公開している。この脆弱性はすでに積極的に悪用されていることが確認されており、可能であればこれらルールを使用して侵害の有無を確認することが推奨されている。
また、当該マルウェアとボットネットの活動の分析において、これまでに判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)も公開しており、必要に応じて活用することが望まれている。