最近、 CVE-2023-30799 の脆弱性を悪用した大規模ボットネットが発見され、MikroTikルーターユーザーに注意が呼びかけられています。当脆弱性は、認証バイパスと権限上昇攻撃を可能にし、これにより、攻撃者はリモートでルーターを完全に支配することができます。特に、この脆弱性を悪用したハッカーは、MikroTikルーターを利用してボットネットを形成し、様々な悪質な行為を実行しており、これを識別・防御するための脅威インテリジェンスと攻撃対象領域管理の重要性についてご説明します。
CVE-2023-30799 : MikroTikルーター脆弱性の悪用
CVE-2023-30799は、MikroTik RouterOSにおいて、任意のコード実行や権限昇格を引き起こす可能性のある深刻な脆弱性です。攻撃者がこの脆弱性を悪用すると、ルーターを完全にコントロールできるようになり、悪意のあるスクリプトの挿入やボットネットの構築など、様々な悪意的活動を実行することができます。
攻撃は次のようなステップで行われます:
- ルーターの掌握:攻撃者は、脆弱なMikroTikデバイスにリモートでアクセスし、管理者権限を乗っ取る。
- ボットネットの構成:感染したルーターは、TCPプロキシサーバー(SOCKS)を有効にし、悪意のあるトラフィックの発信元を隠蔽し、攻撃を行うボットネットの一部になる。
- マルウェアの伝播:感染したルーターを利用してスパムキャンペーンを実行したり、DDoS攻撃の足場として活用する。
Mikro Typoキャンペーン:MikroTikルータの脆弱性を悪用したスパム攻撃
Infobloxが名付けたMikro Typoキャンペーンは、MikroTikルーターの誤ったDNS設定を悪用して大量のスパムメールを送信する攻撃です。
2024年11月末から、攻撃者たちは運送請求書を偽装した悪意のあるメールを拡散し、メールに含まれる難読化されたJavaScriptコードが実行されると、PowerShellを通じてC2サーバー(62.133.60[.]137)に接続されます。
当初はDNS設定エラーを利用してスパム送信が行われましたが、一部の攻撃者はこれを拡張してCVE-2023-30799の脆弱性を悪用し、MikroTikルーターをSOCKSプロキシサーバーに変換することで、悪意のあるトラフィックの出所を隠蔽し、検知を回避しました。
認証なしでトラフィックをバイパスできるSOCKSプロキシを活用することで、攻撃者はより密かにスパムキャンペーンを継続したり、マルウェアの配布やDDoS攻撃を行うことができます。これは、MikroTikルーターのセキュリティが不十分な場合、スパムメールの送信インフラ、悪意のあるトラフィックの中継、ボットネットの構成など、様々なサイバー犯罪に悪用される可能性があることを示しています。
攻撃対象領域ベースのCriminal IPを活用した脆弱なMikroTikルーターの探索
Criminal IPのIT資産検索結果によると、世界中で約11万台以上のMikroTikルーターがCVE-2023-30799の脆弱性の脅威にさらされていることが分かります。これは、大規模なサイバー攻撃の標的になる可能性が高いことを意味します。
Criminal IPの検索クエリ:cve_id: CVE-2023-30799 product:”mikrotik routeros”
2025年2月4日基準、CVE-2023-30799の脆弱性を含むMikroTikルーターは合計131,489台が検出されています。これは、多くのデバイスがまだパッチが適用されていない状態でインターネットに公開されている可能性が高く、即時のセキュリティ対策が必要であることを意味します。
また、検索されたIPの1つを分析した結果、CVE-2023-30799の脆弱性を含む合計72個の脆弱性が確認され、多数のオープンポートも検出されました。これは、攻撃者が悪用する可能性が高い環境を提供するため、迅速な措置が必要であることを意味します。
検索結果のように、未だにパッチが適用されていないMikroTikルーターが多数インターネット上に公開されており、使用中のルーターがCVE-2023-30799を含む既知の脆弱性に影響を受けるバージョンであるかを確認するには、脅威ハンティングツール「Criminal IP」や攻撃対象領域管理ソリューション「Criminal IP ASM」などのセキュリティツールを活用する必要があります。
FAQ(よくある質問)
CVE-2023-30799 の脆弱性はすべてのMikroTikルーターに影響しますか?
特定バージョンのRouterOSで発生する脆弱性であるため、使用している機器のファームウェアのバージョンを確認し、最新バージョンにアップデートすることが重要です。
MikroTikルーターを安全に保護するにはどうすればよいですか?
最新ファームウェアアップデートの適用、強力なアカウント資格情報の使用、不要なサービスの無効化、ファイアウォール設定の強化、SPFレコードのチェックなどの対策を実行することをお勧めします。
CVE-2023-30799 : 迅速なパッチ適用と攻撃対象領域管理が不可欠
結論として、CVE-2023-30799の脆弱性に対する迅速なパッチ適用と攻撃対象領域管理の重要性がさらに強調されます。特に、この脆弱性は、MikroTikルーターを標的とした大規模なボットネット攻撃や悪質なスパムキャンペーンに悪用されており、世界中の多くのデバイスが依然として脆弱な状態にさらされています。
したがって、MikroTikのユーザーは最新のファームウェアアップデートを適用し、不要なサービスやポートを無効にするなど、セキュリティ設定を強化する必要があります。また、Criminal IPのような脅威ハンティングツールやCriminal IP ASM攻撃対象領域管理ソリューションを活用して、継続的な脆弱性モニタリングを行い、異常な兆候を素早く検知して迅速に対応できる体制を整える必要があります。
関連して、致命的なDrayTek脆弱性の公開1ヶ月後、90万台以上のルーターが脅威にさらされているをご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)、The Hacker News(https://thehackernews.com/2025/01/13000-mikrotik-routers-hijacked-by.html)、Infoblox(https://thehackernews.com/2025/01/13000-mikrotik-routers-hijacked-by.html)
ご参照:
