Source:https://thehackernews.com/2025/11/wrthug-exploits-six-asus-wrt-flaws-to.html
🛡 概要
SecurityScorecardのSTRIKEチームが観測した「Operation WrtHug」は、サポート終了(EoL)を含むASUS WRT系ルータの既知脆弱性を突き、台湾・米国・ロシアを中心に世界で数万台規模の乗っ取りを行ったキャンペーンである。過去6カ月で5万超のユニークIPが感染源として識別され、Southeast Asiaや欧州でも活動が確認されている。感染機器には、2022年4月から100年の有効期限を持つ自己署名TLS証明書が共通して設定されており、提示するサービスの99%がASUSのAiCloudであった。攻撃者は認証回避とコマンドインジェクションを連鎖させ、高権限を獲得後にSSHによる永続化を施す。既存の中国系ORB/ボットネットと手口の類似点はあるが、帰属は未確定である。
🔍 技術詳細
本件で悪用が示唆される脆弱性はCVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2023-39780、CVE-2024-12912、CVE-2025-2492で、ASUS WRT系・AiCloud関連エンドポイントの認証回避やコマンドインジェクションなどのn-dayに該当する。観測事実として、(1) インターネット側に露出したAiCloudが単一の自己署名TLS証明書(2022年4月起算で100年有効)を提示、(2) 侵害後はSSHバックドアが展開され、再起動や一部のファーム更新でも残存しうるよう設定が改変される、が挙げられる。これらは、HTTP(S)経由の認証回避→コマンドインジェクション(busybox/ashでのコマンド実行)→初期化スクリプトや設定領域(例:起動スクリプト、永続設定)を変更してSSH常駐・鍵設置、といった一連の流れと整合する。さらに、AiCloudサービスが提示する同一証明書の偏在は、運用上の一元的な証明書配布または同一ツールチェーンの使用を示唆する。なお、CVE-2023-39780は中国発とされる別ボットネットAyySSHush(別名ViciousTrap)でも悪用が報告されており、両者に一部重複IPがあるが、共有脆弱性以上の関連性を裏付ける根拠は提示されていない。対象として報告された主な機種は以下の通り:4G-AC55U、4G-AC860U、DSL-AC68U、GT-AC5300、GT-AX11000、RT-AC1200HP、RT-AC1300GPLUS、RT-AC1300UHP。CVSSは公的情報で一部未掲載・未確定のため、本稿では数値記載を控える。
⚠ 影響
侵害ルータはプロキシ/中継基盤(ORB類似)として濫用され、DDoS・不正アクセス・マルウェア配布の踏み台化、企業拠点/在宅拠点への横断的侵入リスクを高める。ゲートウェイ機器であるため、トラフィックの盗聴・改ざん、社外から社内資産への到達性拡大、脅威インフラとしての信用失墜・ブロックリスト掲載による事業影響が現実的である。EoL機種は恒久対策が提供されない可能性が高く、継続利用は恒常的リスクを伴う。
🛠 対策
優先順位高: (1) EoL機種の計画的リプレース(現行サポート製品へ移行)。(2) 一時的緩和として、WAN側のAiCloud/リモート管理機能を無効化、外部公開ポート閉鎖、UPnP無効化。 (3) 侵害疑い機器は設定バックアップ後に物理リセット・最新ファーム再適用・管理者パスワード/SSH鍵更新・不要サービス停止。 (4) ISP/境界FWで当該機器からの外向きSSH/不審HTTPSの制御、ゼロトラスト/強制VPN経由化。 (5) 資産台帳にSOHO/在宅ルータを含め、露出監査(Shodan/ASM)を定期化。 ベンダー更新が入手可能な機種は速やかに適用し、不可の場合は段階的廃止計画を策定する。
📌 SOC視点
検知観点: (a) NDR/フローで拠点・在宅回線からの恒常的な入出力SSH(22/tcp)・異常なHTTPSセッション増加。 (b) ZEEK/プロキシで自己署名TLS証明書のうち、有効期間が極端に長い(例:100年)ものをAiCloudエンドポイントと相関。 (c) ルータSyslog(外部送信を推奨)でhttpd/AiCloudエラー急増、未知プロセス生成、dropbear/sshd起動ログ、起動スクリプト変更の痕跡。 (d) SIEMで在宅IPからの企業向け不審アクセスやブロックリスト命中の相関。封じ込め: 侵害指標を検出した回線は直ちにセグメント隔離、緊急リイメージ、認証情報全面ローテーションを実施。
📈 MITRE ATT&CK
該当戦術・技法(根拠付):
– TA0001 初期アクセス / T1190 公開アプリケーションの悪用:AiCloud等のインターネット公開管理面をn-dayで侵害した事実と整合。
– TA0002 実行 / T1059 コマンド/スクリプトインタプリタ:コマンドインジェクションによりbusybox/ash等で任意コマンド実行。
– TA0004 権限昇格 / T1068 権限昇格のための脆弱性悪用:認証回避後に高権限化。
– TA0003 永続化 / T1053.003 スケジュールタスク/ジョブ(cron等)または起動スクリプト改変:再起動・更新後もSSHバックドアが残る運用改変と合致。
– TA0011 C2 / T1071.001 アプリ層プロトコル: Web:AiCloud経由のHTTPS通信と自己署名証明書の横展開。
– TA0008 側方移動 / T1021.004 リモートサービス: SSH:SSHを恒常的なリモートアクセス/中継に悪用。
注:IDはMITRE ATT&CK(Enterprise)公開情報に基づく一般化であり、個別機体の実装差はありうる。
🏢 組織規模別助言
– 小規模(〜50名):ISP提供CPEの型番とEoL有無を棚卸し。管理画面のWAN公開禁止、UPnP停止、必要ならばマネージドルータへの置換。外部委託で年1回の露出診断を導入。
– 中規模(50〜500名):在宅勤務ポリシーに「サポート中ルータ必須」「AiCloud等の外部公開禁止」を明記。MDMで社給端末は強制VPNのみ通信許可。NDR/フロー収集を拠点網で実装し、長期自己署名証明書の検知ルールを追加。
– 大規模(500名〜):ASM/攻撃面管理をSOCに統合し、CPEのモデル・ファームを継続監視。ベンダとのPSIRT連携、IoT/ネットワークEDR導入、セグメンテーションでSOHO回線からの管理系アクセスを遮断。購買標準に「EoLポリシー/長期サポート」を組み込む。
🔎 類似事例
– AyySSHush(ViciousTrap):CVE-2023-39780の悪用が報告。
– LapDogs / PolarEdge:直近報告のルータ狙いORB系活動。
– 参照CVE:CVE-2023-41345/41346/41347/41348/39780、CVE-2024-12912、CVE-2025-2492。
– 類似潮流:Zyxelのプレ認証RCE(例:CVE-2023-28771)を悪用したボットネット拡大。
🧭 次の一手
まずは自組織・在宅拠点のASUS WRT系機器の有無とEoL判定、AiCloud外部公開の停止、自己署名証明書(極端に長期有効)の有無確認を実施。その後、(1) SOHOルータ露出可視化チェックリスト、(2) 侵害時の初動手順テンプレート(リセット/再設定/鍵ローテーション)、(3) NDRでのTLS異常検知ルール集、の順で読み進め、即日運用へ反映することを推奨する。
