▶︎セキュリティニュース▶︎情報セキュリティ▶︎バッファロー製の無線ルーター「WSR-1166DH」他複数製品でボット感染が急増、NICTが注意喚起

情報セキュリティ

バッファロー製の無線ルーター「WSR-1166DH」他複数製品でボット感染が急増、NICTが注意喚起

2024年5月21日 NICT(情報通信研究機構)がBuffalo(バッファロー)社製のWiFi無線ルーターでボットの感染急増していることを注意喚起しました。また、22日にBuffalo(バッファロー)社も声明を発表しており、
対象はWHR-1166DHP2、WHR-1166DHP3、WHR-1166DHP4、WSR-1166DHP3、WSR-600DHP等、WEX-1166DHP2となります。

無線ルーターの内部ネットワークからマルウェアの通信を確認(5月23日調査結果)

NICTと連携し調査を実施したところ、50台程度のバッファロー製の無線ルーター、ないしその内部ネットワークからマルウェアが発信したと思われる通信を確認

対象シリーズ

23日の公式発表では以下が対象になっています。

・WHR-1166DHP2

・WHR-1166DHP3

・WHR-1166DHP4

・WSR-1166DHP3

・WSR-600DHP

対象シリーズと類似設計商品シリーズ

・WEX-1166DHP2

・WEX-1166DHPS

・WEX-300HPS/N

・WEX-733DHPS

・WEX-733DHPTX

・WEX-1166DHP

・WEX-733DHP

・WHR-1166DHP

・WHR-300HP2

・WHR-600D

・WMR-300

上記のどれかの機器に該当しかつ、Web設定画面のパスワードが工場出荷時、ないし推測されやすい文字列が設定されている場合、マルウェア感染の恐れがあります。

※工場出荷時「本機ログイン用パスワード」が設定されている商品は該当しない。

なお、関連性は不明ですが2024年4月にバッファロー製Wi-Fi ルーターで複数の脆弱性(CVE-2024-23486、CVE-2024-26023)が発生しており「WSR-1166DH」も該当しています。

バッファロー製Wi-Fi ルーターで複数の脆弱性(JVN#58236836、CVE-2024-23486、CVE-2024-26023)

感染経路

未特定

対策

・最新版のファームウェアにアップデート
※WSR-600DHPは自動で最新のファームウェアへバージョンアップされるようになっている。

・Web更新の停止など、管理画面の公開設定見直し

・工場出荷のまま利用している場合は、初期化を行う

・Web設定画面の[詳細設定]-[管理]-[システム設定]にて、「Internet側リモートアクセス設定を許可する」が無効になっていることを確認する。

各ファームウェアのアップデート日時(5月30日更新)

各ファームウェアのアップデート日時は以下になります。

NICTER解析チームによって発見された感染の疑いのある商品シリーズ

商品シリーズファームウェア自動更新実施日・実施予定日
WHR-1166DHP26/5実施予定
WHR-1166DHP36/4実施予定
WHR-1166DHP45/29実施済み
WSR-1166DHP36/3実施予定
WSR-600DHP5/30実施済み
WEX-300HPTX/N6/7実施予定
WEX-733DHP2過去、最新セキュリティー状態への自動更新を実施済みのため、改めての実施予定はなし

上記商品の類似設計商品シリーズ

商品シリーズファームウェア自動更新実施日・実施予定日
WEX-1166DHP26/11実施予定
WEX-1166DHPS6/10実施予定
WEX-300HPS/N6/7実施予定
WEX-733DHPS5/31実施予定
WEX-733DHPTX6/7実施予定
WEX-1166DHP6/6実施予定
WEX-733DHP6/7実施予定

ルーターがボットに感染するとどうなる?

ルーターがボットに感染すると以下が発生する可能性があります。

・ルーターからネットワーク内の他デバイス(PCやスマホ)への感染拡大

・DDOS攻撃の端末として悪用される

・迷惑メールの送信端末として悪用される

NICTとバッファロー公式Xの内容

引用:NICTERの投稿に関する重要なお知らせ(5/30更新)

他注意喚起の記事

ランサムウェア グループがPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的にしている

関連記事

バッファロー製Wi-Fi ルーターで複数の脆弱性(JVN#58236836)バッファロー製Wi-Fi ルーターで複数の脆弱性(JVN#58236836、CVE-2024-23486、CVE-2024-26023) Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 OpenSSHが認証されていないリモート コード実行に対して深刻な脆弱性(regreSSHion 、CVE-2024-6387)OpenSSHで認証されていないリモート コードを実行される深刻な脆弱性(regreSSHion 、CVE-2024-6387) NEC「Aterm」シリーズのWifi ルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性もNEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も Default ThumbnailVeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849) Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) Default ThumbnailPHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577)
TOPへ