Xlabsは1月7日(現地時間)、「Gayfemboy: A Botnet Deliver Through a Four-Faith Industrial Router 0-day Exploit.」において、ボットネット「Mirai」の亜種「Gayfemboy」が複数のルータを侵害して分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)に悪用したと報じた。
研究者の調査によると、Gayfemboyは最近の活動において、Four-Faith製産業用ルータ、Neterbit製ルータ、Vimar製スマートホームデバイスを侵害し、ボットネットに組み込んだという。
-
Gayfemboy: A Botnet Deliver Through a Four-Faith Industrial Router 0-day Exploit.
多数の脆弱性を悪用
Gayfemboyは2024年2月ごろに最初のサンプルが発見された。それ以降、研究者は継続的な開発を観察しており、2024年11月にはFour-Faith製産業用ルータのゼロデイの脆弱性を悪用して侵害したことが確認された説明している(参考:「ルータのデフォルト資格情報を悪用してサイバー攻撃、1.5万台にリスク | TECH+(テックプラス)」)。
Gayfemboyは主に20以上の脆弱性とTelnetの脆弱な認証情報を悪用して標的デバイスを侵害するという。研究者により悪用が確認された脆弱性は次のとおり。
- CVE-2013-3307
- CVE-2014-8361
- CVE-2016-20016
- CVE-2017-17215
- CVE-2017-5259
- CVE-2020-25499
- CVE-2020-9054
- CVE-2021-35394
- CVE-2023-26801
- CVE-2013-7471
- CNVD-2022-77903
- CVE-2024-8957,CVE-2024-8956
- CVE-2024-12856
- KGUARD SECURITY製DVRのリモートコード実行(RCE: Remote Code Execution)の脆弱性
- LILIN製DVRのリモートコード実行(RCE)の脆弱性
- OptiLink製ルーターONT1GEW GPON 2.1.11_X101 Build 1127.190306のリモートコード実行(RCE)の脆弱性
- Shenzhen TVT Digital Tech製DVR/NVR/IPCのリモートコード実行(RCE)の脆弱性
- ZTE製ルーターZXV10 H108Lのリモートコード実行(RCE)の脆弱性
- Anhengゲートウェイ製品のリモートコード実行(RCE)の脆弱性
影響と対策
研究者の調査によると、Gayfemboyは約15,000のIPアドレスを維持しているとみられる。主な感染デバイスは中国、米国、イラン、ロシア、トルコに存在し、日本を含むそれ以外の地域にも影響があるとされる。
-
感染デバイスの分布図 引用:Xlabs
Gayfemboyを使用したDDoS攻撃は毎日数百の異なる標的に対し実施されており、標的の所在地は中国および米国に集中している。研究者がGayfemboyドメインを仮想専用サーバ(VPS:Virtual Private Server)にて名前解決(妨害)したところ、サーバに対するDDoS攻撃が執拗に行われ、名前解決を断念せざるを得なかったと報告している。このときのトラフィックは「約100GBと推定(原文ママ)」されている。
DDoS攻撃は比較的低コストなサイバー攻撃手法とされる。コストに対して高い効果が期待でき、世界中で日々この手法による攻撃が行われている。このような攻撃の原因となるボットネットの拡散を防止するため、インターネットに接続されているデバイスの管理者は、継続的なセキュリティ対策の実施が推奨されている。
ルータなどのネットワーク製品やモノのインターネット(IoT: Internet of Things)製品などは特に狙われやすく、これら製品を使用しているユーザーには定期的なデバイスの再起動や、脆弱性および侵害の確認、サポート終了(EOL: End-of-Life)製品を使用しないことなどが望まれている。
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
