パッチ未適用のTP-Link ルーターを標的とする新たなボットネット Ballista

サイバーセキュリティ企業Cato Networksは、パッチ未適用のTP-Link Archerルーターを標的とした新たなIoTボットネット「Ballista(バリスタ)」の活動が発表しました。このボットネットは脆弱性CVE-2023-1389のパッチが適用されていないTP-Link Archerルーターを通じて、ボットネットが自動拡散できるようにしているとされています。

Ballista ボットネットとは

「Ballista」は、TP-Link Archerルーターの脆弱性（CVE-2023-1389）を悪用して感染を拡大するIoTボットネットです。攻撃者は、この脆弱性を利用してリモートコード実行（RCE）を行い、ルーターにマルウェアを仕込んでいます。

2025年1月10日から不正アクセスの兆候が観測され、2月17日にはさらに進化した攻撃が確認されました。特に最近では、Torドメインを用いてC2通信を隠蔽するなど、ステルス性が強化されています。

デバイスがマルウェアに感染すると、DoS攻撃やDDoS攻撃などに悪用されさらにはローカル システム上の機密ファイルを読み取ろうとする活動も確認されました。

Ballista ボットネットの影響範囲

コマンドアンドコントロール（C2）サーバーのIPアドレスの場所と、マルウェアのコード内にイタリア語の文字列が見つかったことから、ハッカーがイタリアに拠点を置いていると研究者らはある程度確信していると述べられています。

また、Ballistaに感染している業種や地域は主に以下になり、Censys検索によると、6,000台以上のTP-Link Archerルーターが未だにインターネットに接続され、脆弱な状態にあります。

• 業種：製造業、医療・ヘルスケア、サービス業、テクノロジー業界
• 地域：アメリカ、オーストラリア、中国、メキシコ

脆弱性 CVE-2023-1389 とは

2023 年 3 月 15 日に公開された脆弱性で、TP-Link Archer AX21 (AX1800) ファームウェア バージョン 1.1.4 ビルド 20230219 より前のバージョンに、Web 管理インターフェイスの /cgi-bin/luci;stok=/locale エンドポイントの国形式にコマンド インジェクションの脆弱性が含まれていました。

CVSS3スコアでは8.8と危険度の高い脆弱性になります。

2023年5月には、この脆弱性が実際に悪用されているとして、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）がパッチ適用を促す警告・対策リストにこの脆弱性を加えました。

米国内で中国製 TP-Link ルーターの販売禁止を検討

TP-Link の市場シェアは、SOHO ルーター (家庭および小規模ビジネス オフィス向け) の米国市場で約 65% にまで拡大していますが、TP-Linkは悪用されるリスクから危険性を指摘されています。

実際、米国の家庭や中小企業、米軍事施設でも利用されておりこのルーターが、中国の国家的な不正アクセスやサイバー攻撃のキャンペーンで踏み台にさせる危険性を指摘しています。

また、中国のAPTグループVolt Typhoon（ボルトタイフーン）はSOHOや一般家庭に設置されていたルーターを踏み台にして、グアムの米国政府関連施設や軍事施設へ侵入を行っており、同様の手口でのサイバー攻撃と不正アクセスのリスクが存在します。