Fortinetは12月26日(米国時間)、「Botnets Continue to Target Aging D-Link Vulnerabilities|FortiGuard Labs」において、古い複数のD-Link製ルータが侵害されたと報じた。

侵害されたデバイスからはボットネット「Mirai」の亜種「FICORA」またはボットネット「Kaiten」の亜種「CAPSAICIN」が発見されている。攻撃者はD-Link製ルータのさまざまな脆弱性を悪用して侵害し、ボットネットを構築したとみられる。

  • Botnets Continue to Target Aging D-Link Vulnerabilities|FortiGuard Labs

    Botnets Continue to Target Aging D-Link Vulnerabilities|FortiGuard Labs

攻撃に悪用された脆弱性

攻撃に悪用された脆弱性はHNAP(Home Network Administration Protocol)インタフェースに関連した脆弱性とみられている。Fortinetはその代表的な例として次を挙げている(これら以外の可能性もある)。

  • CVE-2015-2051 - HNAPインタフェースにコマンドインジェクションの脆弱性。リモートの攻撃者は任意のコマンドを実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2019-10891 - HNAPインタフェースにOSコマンドインジェクションの脆弱性。リモートの攻撃者は任意のシェルコマンドを実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2022-37056 - HNAPインタフェースにOSコマンドインジェクションの脆弱性(CVSSスコア: 9.8)
  • CVE-2024-33112 - HNAPインタフェースにコマンドインジェクションの脆弱性(CVSSスコア: 7.5)

侵害される可能性があるデバイス

ボットネットに侵害される可能性があるデバイスおよびファームウェアバージョンは次のとおり。

  • DIR-645 Rev.Ax 1.04b12およびこれ以前のバージョン
  • DIR-806 すべてのバージョン
  • GO-RT-AC750 GORTAC750_revA_v101b03またはGO-RT-AC750_revB_FWv200b02
  • DIR-845L v1.01KRb03およびこれ以前のバージョン

影響

Fortinetの調査によると、ボットネット「FICORA」に侵害されたデバイスは世界中に分散しており、日本にも相当数のデバイスが存在するとされる。

  • ボットネット「FICORA」に侵害されたD-Linkデバイスの分布図 - 引用:Fortinet

    ボットネット「FICORA」に侵害されたD-Linkデバイスの分布図 引用:Fortinet

対してボットネット「CAPSAICIN」に侵害されたデバイスは、日本および台湾に集中していることが確認されている。

  • ボットネット「CAPSAICIN」に侵害されたD-Linkデバイスの分布図 - 引用:Fortinet

    ボットネット「CAPSAICIN」に侵害されたD-Linkデバイスの分布図 引用:Fortinet

対策

Fortinetは被害を軽減するため、D-Link製ルータの利用者に次の対策の実施を推奨している(これらは被害を軽減するだけで防止できない点に注意が必要)。

  • 定期的にファームウェアを強制的に更新する
  • ファームウェアの変更や、不審な通信を監視する

本件については日本国内に被害デバイスが多いとみられており、D-Linkルーターの利用者には侵害の有無の確認、およびファームウェアの更新が望まれている。なお、影響を受けるデバイスの多くはサポート終了(EOL: End-of-Life)となっており、D-Linkは利用を中止するか新しい製品に交換することを推奨している。