中國騰達路由器與n8n平臺漏洞遭利用，駭客藉以散布Zerobot殭屍網路

全球內容傳遞網路（CDN）業者Akamai的資安研究團隊SIRT發布威脅報告指出，一個名為Zerobot的Mirai變種殭屍網路，正積極利用近期揭露的已知漏洞CVE-2025-7544與CVE-2025-68613，攻擊中國騰達（Tenda）路由器以及n8n工作流程自動化平臺。SIRT表示，他們在全球誘捕網路於2026年1月中旬觀測到針對這兩個漏洞的利用嘗試，整體活動則至少可追溯至2025年12月初。

Zerobot此次主要鎖定兩個已被評為重大風險的漏洞，第一個是2025年7月公開的CVE-2025-7544，該漏洞存在於Tenda AC1206路由器的特定端點中，屬於遠端堆疊緩衝區溢位漏洞。由於系統在處理設備列表參數時未進行長度檢查，攻擊者可遠端引發緩衝區溢位，施行DoS或遠端程式碼執行攻擊。

第二個重大風險漏洞則是2025年12月揭露的CVE-2025-68613，影響範圍涵蓋n8n平臺的多個版本。該平臺的工作流程表示式評估系統缺乏適當的沙盒隔離機制，使得具備無特權登入帳號的攻擊者能突破執行環境限制，在伺服器底層執行任意程式碼、讀寫檔案並竊取API金鑰等環境變數。

在實際的攻擊鏈中，攻擊者一旦成功觸發漏洞，便會利用系統內建的網路工具下載惡意腳本。該腳本執行後會根據受害設備的硬體架構，自動下載並載入對應版本的Zerobot主程式，藉此取得系統控制權。

此次現蹤的惡意程式被稱為Zerobotv9，研究人員推測為該殭屍網路的第九版變種。Zerobot曾在2022年被公開揭露，早期樣本多以Go語言撰寫且檔案較大，而Zerobotv9檔案體積較小，且不再以Go語言實作，但仍沿用與早期Mirai家族樣本相同的XOR金鑰。該惡意程式會連線至特定的C2網域，並提供TCPXmas、Mixamp與SSH等攻擊功能，同時也持續嘗試利用多個歷史漏洞擴散。

物聯網設備遭駭通常被用作發動網路攻擊的節點，而工作流程平臺往往掌握著企業內部系統的深度連接權限，因此研究人員提醒，CVE計畫雖能提升產業對漏洞的可見度，但攻擊者同樣會緊盯公開揭露與PoC，趁企業修補前的空窗期下手。對可能受影響的組織而言，應盡速盤點Tenda AC1206與n8n部署情況，並套用官方修補或更新，以降低被殭屍網路滲透的風險。