ボットネット復活？！「Mēris」の登場

QratorLabsは、2021年６月に浮上したボットネットを「疾病」という意味で「Mēris」と名付けました。
ラトビアのIoT機器メーカーのMikroTik製のルーターを操って、大規模DDoS攻撃用のネットワークを構築している、とみられています。

このボットネットについて続々とニュースが挙がってきています。

■Miraiボットネットの帰還？

2016年に史上最悪規模のDDoS攻撃と呼ばれた「Mirai」が戻ってきたのではないか？と一部では噂されています。しかし今回のボットネットは、MikroTik製のルーターを利用していることから脆弱性を突いた攻撃なのではないかと思われます。
また、悪用されている脆弱性は確認できておりません。

今のところ、観測台数はまちまちでローテーションで利用されており、全体の台数把握はできておりませんが、推計で25万台に上っています。
日本で観測できる端末数は約5,000台、全体の1.5%程度占めていました。

現時点わかっている特徴は、以下３つです。

・DDoS攻撃に対するHTTPパイプライン技術の使用
・DDoS攻撃をRPSベースで行う
・ポート5678を開く

過去数週間の間にニュージーランドや米国、ロシアで発生した大規模攻撃も、Merisが原因だったとみているそうです。

■対策

悪用されている脆弱性は確認できておりませんが、2017年リリースのバージョン6.40.1だと特にハッキング被害が多い傾向があること、古いからといって脆弱性が悪用されているわけではないことも確認されています。

よって、ファームウェアを最新バージョンにすることと、2017年から使用している場合はパスワードの変更を行うことを第一に。また、使用する5678/UDPが狙われてしまうので、最低限FWでの防御が必要です。