中国の国家支援型脅威アクターが、グローバルなスパイ活動を支援するために数万台のAsusルーターを侵害し、持続的なネットワークを構築したとSecurityScorecardが報告しています。
「オペレーショナル・リレーボックス(ORB)」促進キャンペーンの一環として、「オペレーションWrtHug」(PDF)と名付けられたこの攻撃で、ハッカーは既知の脆弱性を悪用し、インターネットからローカルストレージにアクセスできるAiCloudサービスを侵害しました。
悪用された脆弱性には、CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、およびCVE-2023-39780(CVSSスコア8.8)が含まれており、いずれも特殊文字の不十分なフィルタリングに起因する重大なコマンドインジェクション問題です。
さらに、脅威アクターはAiCloudサービスの2つの脆弱性、すなわち高深刻度のコマンド実行欠陥であるCVE-2024-12912と、重大な認証制御不備であるCVE-2025-2492も悪用していました。
侵害されたすべてのデバイス(主に販売終了モデル)には、2022年4月から100年間有効な共通の自己署名TLS証明書がインストールされており、これは侵害の指標(IoC)として利用できます。
「ハッカーがデバイスを侵害すると、それは感染したルーターのグローバルネットワークの一部となります。SecurityScorecardのSTRIKEチームは、過去6か月間でこれらの侵害デバイスに属する5万を超えるユニークなIPアドレスを特定しました」とSecurityScorecardは述べています。
デバイスの大半(30%から50%)は台湾にありますが、同社は米国、ロシア、東南アジア、ヨーロッパにもクラスターを確認しています。
これは、今年初めにAyySSHushネットワークが明らかになって以来、インターネット接続可能なAsusルーターを標的とした中国関連のORB作戦としては2例目です。
「このキャンペーンは、静かに大規模な感染デバイスネットワークを構築し、持続的な存在感を確立して隠れ続けようとする中国関連ハッカーによる一連の増加するキャンペーンの一部のようです」とSecurityScorecardは述べています。
同社は、WrtHugとAyySSHushの両方で侵害されたIPアドレスが7件しか特定されておらず、これらが単一で進化するキャンペーンであるか、同じ脅威アクターによるものと考えています。また、2つのグループが活動を調整している可能性も否定していません。
「現時点では、共有された脆弱性以外にこれらの推測を裏付ける十分な証拠はありません。今後も証拠が出るまで、オペレーションWrtHugを別個のキャンペーンとして追跡し続けます」と同社は述べています。
これらのキャンペーンで悪用されたすべての脆弱性には修正パッチが提供されており、主に4G-AC55U、4G-AC860U、DSL-AC68U、GT-AC5300、GT-AX11000、RT-AC1200HP、RT-AC1300GPLUS、RT-AC1300UHPなどの旧型・販売終了モデルに存在します。
ユーザーは、できるだけ早く脆弱性のパッチを適用するか、古いAsusルーターを新しいサポート対象モデルに交換することが推奨されています。
翻訳元: https://www.securityweek.com/over-50000-asus-routers-hacked-in-operation-wrthug/
