ASUS DSL系ルーター重大な認証回避欠陥、FW更新必須

Source:https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-dsl-series-routers/

🛡 概要

ASUSのDSLシリーズ複数モデルに、遠隔・未認証で管理画面へ侵入可能となる重大な認証回避脆弱性（CVE-2025-59367）が判明しました。ASUSはDSL-AC51、DSL-N16、DSL-AC750向けに修正版ファームウェア1.1.2.3_1010を公開済みです。インターネットから管理面（WAN側リモート管理等）が露出している未更新機は、ユーザー操作不要・低複雑度の攻撃で乗っ取られる恐れがあります。CVSSは現時点で未公開ですが、影響は深刻です。適用対象外・EoL機種や直ちに更新できない場合に備え、ASUSはWANから到達可能な各種機能（リモート管理、ポートフォワード、DDNS、VPNサーバ、DMZ、ポートトリガ、FTP等）の停止を推奨しています。

🔍 技術詳細

本件は、ルーターのWeb管理機能における認証処理の欠陥に起因し、特定のリクエストが認証チェックを回避して管理者権限相当の操作に到達し得る問題です。ベンダは詳細な脆弱性の仕組みを一般公開していませんが、典型的にはセッション検証の欠落、アクセス制御の不備、特定エンドポイントの認可漏れなどが原因となり得ます。攻撃者は以下の条件が重なると成功率を高めます。

• WAN側から管理UI/サービス（HTTP/HTTPS/Telnet/SSH/FTP等）が到達可能
• UPnPやポートフォワーディングにより管理ポートが外部へ露出
• DDNS設定により恒久的に名前解決できる状態

実運用では、インターネット全域スキャン（Shodan等での検索を含む）で該当機種・開放ポートを特定し、細工したHTTPリクエストで認証を回避、設定変更（DNS書換え、管理者パスワード変更、VPN/プロキシ化）や不正なファームウェア/設定投入を行う、という鎖が想定されます。既存事例では、旧ASUSルーター脆弱性（CVE-2023-39780、CVE-2021-32030）が広域に悪用され、ボットネット化やバックドア設置が観測されています。今回も類似の被害（DDoS踏み台化、トラフィック中継、内部ネットワーク偵察）に発展する恐れがあります。

⚠ 影響

• 管理者権限の不正取得、設定改ざん（DNS/ファイアウォール/転送設定）
• ボットネット参加・DDoS攻撃の踏み台化、C2プロキシとしての悪用
• 通信盗聴・トラフィック改ざん（悪性DNS応答によるフィッシング誘導等）
• 内部ネットワーク侵入の足掛かり（VPNサーバ悪用、横展開の起点）

現在、積極的悪用の公的報告は確認されていませんが、ルーター欠陥は攻撃者にとって高価値であり、早急な更新が必須です。

🛠 対策

• 直ちにファームウェアを更新：DSL-AC51/DSL-N16/DSL-AC750は1.1.2.3_1010へ。対象外/EoL機は交換を計画
• 更新できない場合の緩和策：WAN到達可能な機能（リモート管理、ポートフォワード、DDNS、VPNサーバ、DMZ、ポートトリガ、FTP）を停止
• 管理面の分離：管理UIはLAN専用/VPN経由のみに制限、管理用IPにACLを適用
• 認証強化：強固な管理パスワード、可能なら多要素（対応機能に依存）、資格情報の再利用禁止
• 不要機能無効化：UPnP/未使用サービスの停止、既定ポートの変更
• 監査とバックアップ：設定変更ログを有効化し外部Syslogへ転送、既知良好な設定/ファームウェアのバックアップ保持
• 露出確認：自社のグローバルIPに対する開放ポート点検、外部スキャンでの露出確認

CVE-2025-59367のCVSSは未公開。関連するCVE-2025-2492（AiCloud機能に関する認証回避）も2025年4月に修正済みで、該当機能有効な機種は合わせて点検が必要です。

📌 SOC視点

• ログソース：ルーターSyslog（管理ログイン成功/失敗、設定変更、サービス有効化/無効化、UPnPイベント、DDNS更新）、境界FW/IDSのアラート、NetFlow/フロー監視
• 検知観点：WAN元からの管理ログイン成功、短時間での多回ログイン試行後の成功、設定変更直後の外向き通信急増、未知の外部IPへの大量接続（DDoS/スキャン）、SSH/Telnetの異常発信
• 相関例：｛条件1＝管理設定変更｝AND｛条件2＝5分以内にDNSサーバ設定変更｝AND｛条件3＝クライアントのDNS問合せ失敗/異常増加｝
• 封じ込め：管理プレーンへの到達経路を一時遮断、既知良好設定へロールバック、強制パスワードリセット、ファーム再適用

📈 MITRE ATT&CK

• T1595（Reconnaissance: Active Scanning）：インターネットで露出デバイス/ポートの探索が前段で実施されるため
• T1190（Initial Access: Exploit Public-Facing Application）：Web管理UIの認証回避を突く初期侵入
• T1210（Initial Access: Exploitation of Remote Services）：リモート管理/Telnet/SSH等が公開されている場合の悪用
• T1098/T1136（Persistence: Account Manipulation/Create Account）：管理者アカウント追加や資格情報変更による恒久化
• T1562（Defense Evasion: Impair Defenses）：ログ無効化やフィルタ設定変更で検知回避
• T1090（Command and Control: Proxy）：侵害ルーターをプロキシ/中継として利用
• T1498（Impact: Network Denial of Service）：ボットネット化後のDDoS発生

🏢 組織規模別助言

• 〜50名：対象機を即時更新。管理UIはLANのみに制限し、UPnP/ポート開放は原則禁止。EoL機は買い替え優先
• 50〜500名：ネットワーク機器の資産台帳とファームウェア台帳を整備。外部露出点検を定期運用化し、Syslog集中管理を導入
• 500名以上：境界の管理プレーン分離（OOB管理）、変更管理と承認プロセスの厳格化、NDRで東西/北南トラフィックの異常を常時監視。委託先拠点のSOHO機も監査対象に

🔎 類似事例

CISAは2024年にASUS RT-AX55のCVE-2023-39780およびASUS GT-AC2900のCVE-2021-32030を「既知悪用」に追加。セキュリティ各社の報告では、これらを用いた広域なバックドア設置と新規ボットネット化が観測されました。また2025年4月にはAiCloud有効機に影響するCVE-2025-2492（認証回避）が修正済みです。いずれもルーター露出と設定不備が被害拡大の鍵でした。

🧭 次の一手

1. 対象モデルはファーム1.1.2.3_1010へ更新し再起動後の設定整合性を確認
2. WAN到達可能な管理/転送/公開機能を停止し、管理アクセスはVPN/ジャンプ端末に限定
3. Syslogを有効化してSIEMに集約、異常な管理ログインや設定変更に即時アラート
4. 外部露出レビュー（ポートスキャン、DDNS/クラウド設定確認）、EoL機は後継へ置換計画
5. 資格情報ポリシー見直し（長く複雑なパスフレーズ、使い回し禁止）と定期更新
6. ASUS公式サポート/製品ページで該当機種の最新ファームと勧告を継続確認