Mirai ベースのボットネットマルウェア Aquabot の新しい亜種が、Mitel SIP 電話のコマンドインジェクションの脆弱性 CVE-2024-41710 を積極的に悪用していることが確認されました。
この活動を発見したのはアカマイの Security Intelligence and Response Team (SIRT) で、Aquabot の 3 番目の亜種であることが報告されています。
このマルウェアファミリーは 2023 年に登場し、その後永続化メカニズムを追加した第 2 バージョンがリリースされました。3番目の亜種である「Aquabotv3」は、終了シグナルを検出し、その情報をコマンド・アンド・コントロール(C2)サーバーに送信するシステムを導入しています。
アカマイは、Aquabotv3 の終了未遂を報告するメカニズムはボットネットには珍しく、オペレーターがよりよく監視できるように追加された可能性があるとコメントしています。

出典:Aquabotv3:アカマイ
ミテルの電話を狙う
CVE-2024-41710 は、Mitel 6800 シリーズ、6900 シリーズ、6900w シリーズ SIP 電話に影響を及ぼすコマンドインジェクションの欠陥で、一般的に企業のオフィス、企業、政府機関、病院、教育機関、ホテル、金融機関などで使用されています。
これは、管理者権限を持つ認証済みの攻撃者が、ブートプロセス中のパラメータのサニタイズが不十分なために引数インジェクション攻撃を行うことができ、結果として任意のコマンドを実行されるという中程度の重大さの欠陥です。
Mitel社は、2024年7月17日にこの欠陥に関する修正とセキュリティ勧告を発表し、ユーザーにアップグレードを促した。その2週間後、セキュリティ研究者のKyle Burns氏がGitHubで概念実証(PoC)を公開した。
Aquabotv3 がこの PoC を使用して CVE-2024-41710 を悪用した攻撃は、この脆弱性を利用した最初の事例として文書化されています。
「アカマイの SIRT は、2025年1月初旬に当社のグローバルなハニーポットネットワークを通じて、この PoC とほぼ同じペイロードを使用した、この脆弱性を狙った攻撃の試みを検出しました。
この攻撃には認証が必要であることから、マルウェアのボットネットは最初のアクセスにブルートフォース(総当たり攻撃)を使用していることがわかります。
攻撃者は、Mitel SIPフォンの802.1x認証設定を担当する脆弱なエンドポイント8021xsupport.htmlをターゲットに、HTTP POSTリクエストを作成します。
このアプリケーションは、ユーザー入力を不適切に処理するため、電話のローカル設定 (/nvdata/etc/local.cfg) に不正なデータが挿入される可能性があります。
攻撃者は、行末文字 (%dt → %0d) の挿入により、デバイスの起動時に構成ファイルが解析される方法を操作し、自分のサーバからリモートシェルスクリプト (bin.sh) を実行します。
このスクリプトは、定義されたアーキテクチャ(x86、ARM、MIPSなど)用のAquabotペイロードをダウンロードしてインストールし、「chmod 777」を使用して実行パーミッションを設定し、すべてのトレースをクリーンアップします。
Aquabotv3の活動
永続性が確保されると、Aquabotv3はTCP経由でC2に接続し、命令、攻撃コマンド、更新、または追加のペイロードを受け取ります。
次に、Mitelエクスプロイト、CVE-2018-17532(TP-Link)、CVE-2023-26801(IoTファームウェアRCE)、CVE-2022-31137(Web App RCE)、Linksys EシリーズRCE、Hadoop YARN、およびCVE-2018-10562 / CVE-2018-10561(Dasan ルーターのバグ)を使用して、他のIoTデバイスへの拡散を試みます。
このマルウェアはまた、デフォルトまたは脆弱なSSH/Telnet認証情報をブルートフォースして、同じネットワーク上のセキュリティが不十分なデバイスに拡散しようとします。
Aquabotv3の目標は、配信サービス拒否(DDoS)群にデバイスを参加させ、それらを使用してTCP SYN、TCP ACK、UDP、GRE IP、アプリケーション層攻撃を実行することです。
このボットネットの運営者は Telegram 上で、Cursinq Firewall、The Eye Services、The Eye Botnet という名前で DDoS 機能を宣伝し、DDoS 軽減対策のテストツールとして紹介しています。
アカマイは、Aquabotv3 に関連する侵害の指標(IoC)、およびマルウェアを検出するための Snort と YARA のルールをレポートの末尾に記載しています。
Comments