Fortinetは6月20日(米国時間)、「Condi DDoS Botnet Spreads via TP-Link's CVE-2023-1389|FortiGuard Labs」において、脆弱性を持つルータを悪用して拡散している分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)型ボットキャンペーンについて伝えた。TP-Link Archer AX21 (AX1800) Wi-Fi ルータが抱える脆弱性を悪用し、DDoS-as-a-serviceボットネットに誘導する「Condi」と呼ばれるマルウェアが発見された。

  • Condi DDoS Botnet Spreads via TP-Link's CVE-2023-1389|FortiGuard Labs

    Condi DDoS Botnet Spreads via TP-Link's CVE-2023-1389|FortiGuard Labs

DDoS型ボットであるCondiのサンプルが見つかった。サンプルには、感染したシステム内で永続性を実現するためにシャットダウンコマンドを削除する機能が含まれ、古いバージョンのCondiボットを強制終了させる機能が実装されていることもわかった。

Condi Networkと呼ばれるTelegramチャネルが開設されていることも判明している。このチャンネルはCondiを宣伝するために運営されており、DDoS-as-a-serviceを提供し、マルウェアのソースコードを販売することでボットネットを収益化させていることが確認されている。

発見されたCondiのサンプルでは、CVE-2023-1389として追跡されている脆弱性が悪用されている。TP-Link Archer AX21 (AX1800) のファームウェア バージョン1.1.4 ビルド20230219より前に影響する脆弱性とされ、深刻度は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値8.8で重要(High)と評価されている。CVE-2023-1389以外にも、他の既知のセキュリティ脆弱性を悪用して伝播しているサンプルもいくつか確認されている。

マルウェアキャンペーン、特にボットネットキャンペーンでは常に新たな攻撃手法が模索されている。Condiキャンペーンのように最近発見された(または公表された)脆弱性の悪用が攻撃者に好まれて使われている。こうしたキャンペーンの被害に遭わないよう、最新のセキュリティパッチやアップデートを迅速に適用することが強く推奨されている。