概要
Zerobot マルウェアは、Tenda AC1206 ルーターの CVE-2025-7544 と n8n ウェブフロー自動化プラットフォームの CVE-2025-68613 の脆弱性を悪用して、Mirai ベースのペイロードである Zerobotv9 を展開しています。
攻撃の詳細
Zerobot キャンペーンは、ダウンロードツールとマルチアーキテクチャバイナリを使用して、侵害されたシステムをボットネットに迅速に登録し、サービス拒否攻撃やさらなる侵入作業を行うことができます。
Tenda AC1206 ルーターの脆弱性
CVE-2025-7544 は Tenda AC1206 ファームウェアバージョン 15.03.06.23 のスタックベースのバッファオーバーフローです。この脆弱性を悪用すると、リモートで未認証の攻撃者がルーター上で任意のコードを実行できます。
n8n インスタンスへの攻撃
CVE-2025-68613 は n8n のサーバーサイドワークフロー表現評価エンジンのリモートコード実行脆弱性です。この脆弱性を悪用すると、認証されたユーザーが任意の OS レベルのコマンドを実行できます。
Zerobotv9 のペイロードと動作
tol.sh スクリプトは、幅広い CPU アーキテクチャ用にコンパイルされた Zerobotv9 バイナリを取得します。このペイロードは UPX で圧縮されており、Mirai のオリジナルコードベースと強い関連性があります。
対策
- Tenda AC1206 ルーターのファームウェアバージョンを確認し、インターネットへの露出を制限または削除します。
- n8n を使用している組織は、アップデートされたリリースに移行し、ワークフロー編集権限を厳格に管理します。
- ネットワークの防御者は、コマンドアンドコントロールドメインや既知のホスティング IP へのアウトバウンド接続を監視します。