Over 50,000 Asus Routers Hacked in ‘Operation WrtHug’
2025/11/20 SecurityWeek — Operational Relay Box (ORB) キャンペーンの一環として、ハッカーたちは既知の脆弱性を悪用し、インターネットからローカル・ストレージへのアクセスを可能にする、ASUS ルーターの AiCloud サービスを侵害した。この Operation WrtHug と呼ばれる攻撃で悪用されたバグは、CVE-2023-41345/CVE-2023-41346/CVE-2023-41347/CVE-2023-41348/CVE-2023-39780 (CVSS:8.8) などである。これらの脆弱性は、特殊文字に対する不十分なフィルタリングに起因し、深刻なコマンド・インジェクションを引き起こすものである。
さらに、この脅威アクターは、AiCloud サービスの深刻な2つの脆弱性も悪用している。1つ目はコマンド実行の脆弱性 CVE-2024-12912 であり、2つ目は不適切な認証制御の脆弱性 CVE-2025-2492 である。
ハッカーたちは、侵害したすべてのデバイス (ほとんどが販売終了モデル) に、2022年4月以降の 100 年間にわたり有効期限を持つ、共有の自己署名 TLS 証明書をインストールしていた。その痕跡は、侵害の兆候 (IoC) として利用できる。
SecurityScorecard は、「ハッカーがデバイスを侵害すると、そのデバイスは感染したルーターで構成されるグローバル・ネットワークの一部になる。これまでの6ヶ月間で当社の STRIKE チームが特定したのは、これらの侵害されたデバイスに属する、5万件以上の固有 IP アドレスである」と述べている。
デバイスの大半 (30%〜50%) は台湾に集中しているが、米国/ロシア/東南アジア、ヨーロッパにもクラスターが存在することを、SecurityScorecard は確認している。
Operational Relay Box (ORB) 攻撃としては、今年の初めに AyySSHush ネットワークが発見されている。したがって、インターネット接続が可能な Asus ルーターを標的とする、中国由来の2件目の ORB 攻撃となる。
SecurityScorecard は、「この攻撃が示すように、中国に関連するハッカーによる攻撃が増加している。彼らは、感染させたデバイスで構成する大規模なネットワークにより、永続的なプレゼンスを確立しながら身元を隠蔽している」と指摘している。
SecurityScorecard は、WrtHug 攻撃と AyySSHush 攻撃に共通する7件の IP アドレスを特定している。したがって、それらが個別に進化し続ける攻撃である可能性と、同じ脅威アクターによる攻撃の可能性が示唆される。また、2つのグループが連携して活動している可能性も否定できない。
同社は、「現時点において、共通の脆弱性以外に、これらの推測を裏付ける確固たる証拠はない。そのような証拠が出てくるまで、Operation WrtHug を別個のキャンペーンとして追跡し続ける」と述べている。
これらのキャンペーンで悪用された全ての脆弱性には、すでに修正プログラムが提供されている。また、それらの脆弱性が存在するのは、4G-AC55U/4G-AC860U/DSL-AC68U/GT-AC5300/GT-AX11000/RT-AC1200HP/RT-AC1300GPLUS/RT-AC1300UHP といった、旧式モデルおよび販売終了モデルである。
ユーザーに対して推奨されるのは、悪用された脆弱性に対するパッチの速やかな適用、もしくは、Asus ルーター・デバイスのサポート対象モデルへの交換である。
ユーザーが既知の脆弱性を放置した結果として、ASUS ルーターの AiCloud サービスが大規模に悪用されているようです。原因の中心にあるのは、特殊文字のフィルタリング不足によるコマンド・インジェクションと、古い販売終了モデルが長く使われ続けていることです。さらに、共通の自己署名証明書を入れられることで、長期間にわたり侵害が見えにくくなる仕組みも怖いところです。ご利用のチームは、ご注意ください。よろしければ、2024/11/05 の「VPN/Botnet を組み合わせた脅威:きわめて危険な ORB (Operational Relay Box) とは?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.