C
月内に
Fortinetの研究者が、DD-WRTファームウェアを搭載したルーターやAndroidデバイスなどを標的とする新しいボットネット「C0XMO」を発見しました
📌 一言でいうと
Fortinetの研究者が、DD-WRTファームウェアを搭載したルーターやAndroidデバイスなどを標的とする新しいボットネット「C0XMO」を発見しました。このマルウェアはCVE-2021-27137の脆弱性を悪用してバッファオーバーフローを引き起こし、認証なしでコードを実行させます。感染後はPythonスクリプトを用いてネットワーク内の脆弱性をスキャンし、TelnetやSSHのブルートフォース攻撃を仕掛け、自己拡散を図ります。
🔍該当判定
- 社内で「DD-WRT」というカスタムファームウェアを導入したルーターを利用している
- ルーターやネットワーク機器で「Telnet」または「SSH」を有効にして外部からアクセス可能にしている
- Android OSを搭載した業務用端末や、ネットワークビデオレコーダー(NVR)を運用している
- ルーターの管理画面にアクセスするためのパスワードを、初期設定のまま、あるいは単純な文字列で運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. DD-WRTファームウェアを最新バージョンにアップデートし、CVE-2021-27137への対策を適用すること。2. 不要なTelnetおよびSSHサービスの停止、またはアクセス制限を徹底すること。3. 外部からルーターの管理画面へのアクセスを遮断すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】DD-WRTルーターにおけるC0XMOボットネットへの対応について
お疲れさまです。DD-WRTファームウェアを標的とした新種のボットネット「C0XMO」に関する情報共有です。
■ 概要
CVE-2021-27137の脆弱性を悪用し、認証なしでリモートコード実行(RCE)を可能にする攻撃が観測されています。感染後、PythonスクリプトによるネットワークスキャンおよびTelnet/SSHのブルートフォース攻撃による横展開が行われます。
■ 影響範囲
- DD-WRTファームウェア搭載ルーター
- 一部のAndroidデバイス、ビデオ管理プラットフォーム
■ 対応手順
1. 利用中のルーターのファームウェアバージョンを確認し、最新版へアップデートしてください。
2. 外部からのTelnet/SSHアクセスを遮断し、管理インターフェースへのアクセス制限を再確認してください。
3. 不審なCronジョブや一時ディレクトリへの不審なファイル作成がないか確認してください。
■ 参考情報
- Fortinet Security Research
対応優先度: 高
対応期限: 速やかに
お疲れさまです。DD-WRTファームウェアを標的とした新種のボットネット「C0XMO」に関する情報共有です。
■ 概要
CVE-2021-27137の脆弱性を悪用し、認証なしでリモートコード実行(RCE)を可能にする攻撃が観測されています。感染後、PythonスクリプトによるネットワークスキャンおよびTelnet/SSHのブルートフォース攻撃による横展開が行われます。
■ 影響範囲
- DD-WRTファームウェア搭載ルーター
- 一部のAndroidデバイス、ビデオ管理プラットフォーム
■ 対応手順
1. 利用中のルーターのファームウェアバージョンを確認し、最新版へアップデートしてください。
2. 外部からのTelnet/SSHアクセスを遮断し、管理インターフェースへのアクセス制限を再確認してください。
3. 不審なCronジョブや一時ディレクトリへの不審なファイル作成がないか確認してください。
■ 参考情報
- Fortinet Security Research
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] C0XMO Botnet targeting DD-WRT Routers
Dear IT/Security Team,
We are sharing information regarding a new botnet named "C0XMO" targeting devices with DD-WRT firmware.
■ Overview
C0XMO exploits CVE-2021-27137 to achieve unauthenticated remote code execution (RCE) via a buffer overflow. After initial compromise, it uses Python scripts for network scanning and spreads via Telnet/SSH brute-forcing.
■ Scope
- Routers running DD-WRT firmware
- Certain Android devices and video management platforms
■ Mitigation Steps
1. Update DD-WRT firmware to the latest version to patch CVE-2021-27137.
2. Disable or restrict access to Telnet and SSH services from external networks.
3. Audit system cron jobs and temporary directories for unauthorized scripts.
■ Reference
- Fortinet Security Research
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a new botnet named "C0XMO" targeting devices with DD-WRT firmware.
■ Overview
C0XMO exploits CVE-2021-27137 to achieve unauthenticated remote code execution (RCE) via a buffer overflow. After initial compromise, it uses Python scripts for network scanning and spreads via Telnet/SSH brute-forcing.
■ Scope
- Routers running DD-WRT firmware
- Certain Android devices and video management platforms
■ Mitigation Steps
1. Update DD-WRT firmware to the latest version to patch CVE-2021-27137.
2. Disable or restrict access to Telnet and SSH services from external networks.
3. Audit system cron jobs and temporary directories for unauthorized scripts.
■ Reference
- Fortinet Security Research
Priority: High
Deadline: Immediate