Gafgytマルウェア、5年前のEoL Zyxelルーター欠陥を悪用

サイバーセキュリティ企業「フォーティネット」によると、ボットネットマルウェア「Gafgyt」が、使い終わった「Zyxel P660HN-T1A」ルーターの脆弱性を悪用する動きがあると警告しました。このマルウェアは、デバイスのリモートシステムログ転送機能における重大な深刻度（CVSS v3: 9.8）の未認証コマンドインジェクション脆弱性であるCVE-2017-18368を標的としています。CVE-2017-18368は2017年にZyxelによってパッチが適用されましたが、2019年にまだ古いファームウェアバージョンを使用しているユーザーに対して当時の新しいGafgyt亜種の脅威があると強調されました。Zyxelは、乗っ取りからデバイスを保護するために最新リリースにアップグレードするよう促しました。

しかし、フォーティネットは2023年7月初めから1日平均7,100件の攻撃を見続けていて、その量は現在も続いています。「2023年8月7日現在、FortiGuard Labsでは2017年の脆弱性を標的とした攻撃の試みが引き続き確認されており、この1ヶ月間で数千を超えるユニークなIPSデバイスの攻撃の試みをブロックしています」と、公表しました。観測された攻撃のうち、どの程度が感染に成功したかは不明ですが、この活動は7月から続いているそうです。

アメリカのサイバーセキュリティ・社会基盤安全保障庁（CISA）はまた今週、CVE-2017-18368の活発な悪用について警告し、悪用された既知の脆弱性（Known Exploited Vulnerabilities、KEB）カタログにこの脆弱性を追加しました。アメリカのサイバーセキュリティエージェンシーは現在、連邦政府機関に対し、2023年8月28日までにZyxelの脆弱性にパッチを適用するよう要求しています。

今回の脆弱性悪用の発生を受けて、Zyxelはセキュリティ勧告を更新し、CVE-2017-18363はアバージョン7.3.15.0 v001/3.40(ULM.0)b31 またはそれ以前のファームウェデバイスのみに影響を与えることを改めて喚起しました。Zyxel社「P660HN-T1Aは数年前に製造終了となっているため、最適な保護のために、より新しい世代の製品に交換することを強くお勧めします」と、新しいモデルに切り替えることを警告しています。

ルーターにおけるボットネット感染の一般的な兆候としては、不安定な接続性、デバイスの過熱、突然の設定変更、無反応、非定型ネットワーク・トラフィック、新しいポートの開放、予期せぬ再起動などがあります。ボットネット・マルウェアによる侵害が疑われる場合は、設定をリセットし、デバイスのファームウェアを最新バージョンに更新し、デフォルトの管理者ユーザー認証情報を変更してください。また、リモート管理パネルを無効にし、内部ネットワークからのみデバイスを管理することをお勧めします。