Ötvenezer Asus routerbe bújtak bele a hackerek
A feltehetően kínaiakhoz köthető támadáskampányban hét különböző, már nem támogatott vagy elavuló Asus router modellt céloztak.
Körülbelül 50 ezer Asus routert érinthet egy támadási kampány a SecurityScorecard biztonsági csapata által végzett vizsgálat szerint. Az Operation WrtHug néven említett akció kifejezetten elavult (már nem támogatott) vagy életciklusuk végén járó (EoL) Asus WRT típusú routerek több ismert sebezhetőségére épített, egyes sérülékenységeket már 2023-ban sikerült azonosítani. A támadások mögött a kínai állam által támogatott elkövetők állhatnak az eddigi vizsgálatok alapján, a célpontok pedig elsősorban Tajvanon és Délkelet-Ázsiában, kisebb arányban Kína, Oroszország és az Egyesült Államok területén találhatók.
A támadók hat biztonsági hibát használtak ki, a 2023-ban azonosított négy bug (CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348) 8.8-as pontszámmal szerepel a CVE (Common Vulnerabilities and Exposures) adatbázisban, míg a CVE-2024-12912 7.2-es súlyosságú, a CVE-2025-2492 pedig 9.2-es osztályozásával kritikus hibának számít. A fent említett négy sérülékenységet a kutatók kapcsolatba hozták a CVE-2023-39780-es azonosítójú, injekciós támadásoknak teret adó sebezhetőséggel, melyet korábban az AyySSHush támadási kampányban használtak ki kiberbűnözők több mint 8 ezer Asus router megtámadásához még idén májusban.
Adminisztrátori jogok teljes kontroll alatt (x) Intelligens jogosultságkezeléssel egyszerűbben bezárhatók a potenciális támadási felületek és nyitva felejtett kiskapuk.
A biztonsági szakértők hét eszköz esetében találtak átfedéseket a két kampány közt, ami alacsonynak tekinthető annak fényében, hogy a támadók megegyező exploitokat használtak, és ugyanazokat az elavult eszközöket célozták meg. A csapat szerint a WrtHug és az AyySSHush ugyanazon fenyegetettségi szereplő két külön akciója lehet, de a kihasznált sebezhetőségek egyezőségén túl egyelőre nincsenek további bizonyítékok a feltételezés alátámasztására.
Egyelőre a biztonsági szakértők sem tudták részletesen feltárni, hogy mi a célja az elkövetőknek, és pontosan milyen aktivitáshoz használják fel a kompromittált eszközöket. A SecurityScorecard szerint a routereket az ORB (operational relay box) hálózatoknál látott módon a hackerek kémkedési céllal használhatják fel a személyazonosságuk elrejtése érdekében. Ezzel a hozzáférési szinttel a fenyegetési szereplő bármelyik feltört routert céljai szerint használhatja, de a legjellemzőbb, hogy titkos műveletekhez és kémkedéshez élnek vissza,. Minden fertőzött eszköz ugyanazt a 100 évre beállított TLS-tanúsítványt használja, melynek lejárati idejét 100 évvel 2022 áprilisa utánra állították be.
A leselejtezett routereket és más IoT-eszközöket használó felhasználóknak általánosságban is javasolt megfontolni a rendszeres biztonsági frissítéseket kapó eszközökre való átállást. A SecurityScorecard az alábbi elavult Asus modelleket listázta a WrtHug kampányban: Asus Wireless Router 4G-AC55U, Asus Wireless Router 4G-AC860U, Asus Wireless Router DSL-AC68U, Asus Wireless Router GT-AC5300, Asus Wireless Router GT-AX11000, Asus Wireless Router RT-AC1200HP, Asus Wireless Router RT-AC1300GPLUS,Asus Wireless Router RT-AC1300UHP.