DIGIEVER製NVRやTP-Link製ルーターの脆弱性を悪用する新たなボットネットが登場：CVE-2023-1389他

12月25日：サイバーセキュリティ関連ニュース

DIGIEVER製NVRやTP-Link製ルーターの脆弱性を悪用する新たなボットネットが登場（CVE-2023-1389、CVE-2018-17532）

BleepingComputer – December 24, 2024

Miraiベースの新たなボットネットが、DIGIEVER製のネットワークビデオレコーダーDS-2105 ProのRCEの脆弱性を悪用しているという。Akamaiのレポートで明らかとなった。この脆弱性にはまだ追跡番号が付与されておらず、修正もなされていないとのこと。

同脆弱性はURI「/cgi-bin/cgi_main.cgi」に存在し、ユーザーが入力した値を適切に検証しないことに起因する。認証されていないリモートの攻撃者はこれを利用し、HTTP POSTリクエストのntpフィールドなど特定のパラメーターを介して、「curl」や「chmod」といったコマンドを注入できるようになる。今回のキャンペーンにおいてはこのコマンドインジェクションが行われた後、外部サーバーからマルウェアのバイナリが取得され、デバイスがボットネットに組み込まれるという。侵害されたデバイスはDDoS攻撃に使用されたり、ほかのデバイスへ感染を広げるための踏み台として使われることになる。

Akamaiの研究者は、11月中旬に当該脆弱性が同ボットネットに悪用され始めたことを確認したようだが、それより前（遅くとも9月）からこのキャンペーンが行われていた証拠も見つかっているという。

また同キャンペーンでは、TP-Link製デバイスにおけるCVE-2023-1389（コマンドインジェクションの脆弱性）や、Teltonika RUT9XXルータにおけるCVE-2018-17532（OSコマンドインジェクションの脆弱性）も標的にされているとのこと。

Akamaiによると、多くのMiraiベースのボットネットがオリジナルのソースコードに含まれる文字列難読化ロジックを使っているのに対し、この新しい亜種はXOR、ChaCha20といった暗号化アルゴリズムを使用し、x86やARM、MIPSなど幅広いシステムアーキテクチャを狙っていることが特徴的だという。複雑な復号手法が用いられるのは真新しいことではないが、これはMiraiベースのボットネット運営者の戦術、技術、手順が進化していることを示唆しているとされる。

さらにAkamaiは、このキャンペーンに関連するIoCと、脅威の検出・ブロックのためのYaraルールをレポートに記載した。

3万超える数のPostmanワークスペースからAPIキーや機微なトークンが流出

HackRead – December 24, 2024

CloudSEKによると、3万を超える数のPostmanのワークスペースが公開状態になっており、APIキーやトークンなどの機微なデータが露出していたという。

Hackread.comに共有されたCloudSEKのレポートには、小規模企業から大企業までさまざまな業界の組織のデータが流出した旨が記されており、GitHub、Slack、Salesforceといった主要なプラットフォームが影響を受けたとされている。

研究者らはこうした流出を引き起こす一般的な要因として、不注意によるPostmanコレクションの共有、アクセス制御の設定ミス、一般公開されているリポジトリとの同期、平文で機微データを保存する行為などを挙げている。

漏洩したデータには、管理者認証情報、決済処理用のAPIキー、内部システムへのアクセス権などが含まれていた。これらが悪用されればデータ漏洩や不正アクセスが発生し得るほか、フィッシングやソーシャルエンジニアリング攻撃が増加する恐れがある。そうなれば、影響を受けた組織は金銭的な損害を被り、企業の評判が下がってしまう可能性も考えられる。

CloudSEKは各組織に対し、環境変数を使用することや権限を制限することなど、より強固なセキュリティ対策を実施するよう強く推奨している。またPostmanは、今回の調査結果が公表された後に機密保護ポリシーを実施し、パブリックワークスペースで機微なデータが露出しないように対策を行った。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート