ASUS AiCloud搭載ルーターに重大な認証回避、早急に更新を - SecureShield セキュリティニュースまとめ

Source:https://www.bleepingcomputer.com/news/security/asus-warns-of-new-critical-auth-bypass-flaw-in-aicloud-routers/

🛡 概要

ASUSはAiCloud機能を有効にしたルーターに影響する計9件の脆弱性を修正する新ファームウェアを公開しました。中でもCVE-2025-59366は認証回避につながる重大な欠陥で、遠隔の未認証攻撃者による低複雑度の攻撃で悪用され得ます。ASUSは直ちに最新ファームウェアへ更新するよう強く推奨しています。サポート終了（EoL）機種については、インターネットから到達可能な機能を無効化する暫定緩和策が案内されています。

🔍 技術詳細

AiCloudはASUSルーターを個人向けクラウドサーバーとして機能させるリモートアクセス機能です。CVE-2025-59366はSamba機能の想定外の副作用により、正当な認可を経ずに特定の機能呼び出しを許してしまう実装上の欠陥が根にあります。攻撃者は以下の要素を連鎖させることで悪用可能です。

ディレクトリトラバーサル（パス・トラバーサル）により意図しないパスやハンドラにアクセス
OSコマンドインジェクションにより、埋め込みLinux上で任意のシェルコマンドを実行

これらはユーザー操作を要さず、WAN側からのHTTP/HTTPSリクエストのみで成立する可能性があります。脆弱性はAiCloudとSambaの連携周辺で誘発され、認証バイパスを経て管理相当の操作やバックドア作成、プロキシ化などに悪用され得ます。ASUSは影響機種の一覧は明示していませんが、修正を含むファームウェア系統として3.0.0.4_386系、3.0.0.4_388系、3.0.0.6_102系を提示しています（個別モデルはアドバイザリ参照）。

今回の更新で対処されたCVEは次の通りです：CVE-2025-59365、CVE-2025-59366、CVE-2025-59368、CVE-2025-59369、CVE-2025-59370、CVE-2025-59371、CVE-2025-59372、CVE-2025-12003。加えて、2025年4月にはAiCloud有効時に細工リクエストで認証回避可能なCVE-2025-2492も修正済みです。CVE-2025-59366のCVSSは執筆時点で公表されていません（他CVEも同様に未公表のものがあります）。

⚠ 影響

未更新・EoL機種でAiCloudや関連インターネット向け機能が有効な場合、外部からの侵入、設定改変、マルウェア設置、ボット化、プロキシ化（中継ノード化）などのリスクが高まります。ASUSは、WANリモート管理、ポートフォワーディング、DDNS、VPNサーバー、DMZ、ポートトリガ、FTP、ならびにAiCloudへのリモートアクセスを無効化することで露出面を削減できるとしています。

🛠 対策

直ちに最新ファームウェアへ更新（対象系統：3.0.0.4_386／3.0.0.4_388／3.0.0.6_102）。モデル別の適用可否は製品ページまたはアドバイザリで確認。
EoL機種・更新不可の場合の緩和策：WANから到達可能な機能（WAN経由の管理、ポートフォワーディング、DDNS、VPNサーバー、DMZ、ポートトリガ、FTP、AiCloudリモートアクセス）をすべて無効化。
管理画面とWi‑Fiのパスワードを強力化し、二要素が提供されていれば有効化。既存資格情報の使い回しを排除。
不要なSamba共有とゲストアクセスを停止。利用が必須な場合はLAN内のみに限定し、アクセス制御リストで絞り込み。
設定バックアップ後、感染が疑われる場合は初期化（出荷時リセット）→最新ファーム適用→手動でクリーン再設定。
リモート管理が必要な場合はIP許可リストやVPNクライアント経由に限定し、標準ポート公開を避ける。

CVSS: 公表待ち（CVE-2025-59366ほか）。

📌 SOC視点

ログ収集：ルーターのsyslogをリモートSyslog/SIEMへ転送。HTTP/HTTPSアクセス、設定変更、認証イベント、Samba（smbd）関連、スケジューラ（cron/cru）変更、ファイアウォール（iptables/ACL）変更を重点収集。
検知観点：WAN側からの管理ポートやAiCloud関連エンドポイントへの連続アクセス、失敗→成功の直列事象、未知国・ASNからのPOSTリクエスト増加、httpd配下からシェル起動の痕跡、急増する外向き接続や帯域消費、UPnP/ポート開放の自動化。
ネットワーク監視：フロー/PCAPでルーター起点の長寿命TLSセッションやSOCKS/HTTPプロキシ挙動、DNSクエリの突発的多様化をアラート化。Egress制御で管理サブネットからの不用意な外向き通信を抑制。
狩りの手掛かり：直近構成差分（NVRAM/設定）に未知ユーザー・新規ポート・不審なスケジュール実行がないか。再起動後も残る自動起動エントリを点検。

📈 MITRE ATT&CK

TA0001 初期アクセス | T1190 公開アプリケーションの脆弱性悪用：AiCloudのWeb面に対する認証回避＋パス・トラバーサルを経由し侵入するため。
TA0002 実行 | T1059.004 コマンド/スクリプトインタプリタ: Unixシェル：OSコマンドインジェクションにより組込みLinux上でシェルが実行され得るため。
TA0011 C2 | T1090 プロキシ：侵害後のルーターが中継ノード（ORB）として悪用され、C2隠蔽や踏み台化に利用され得るため（過去事例の観測に基づく）。

🏢 組織規模別助言

小規模（〜50名）：管理画面のWAN公開を即時停止し、ISPルーター配下に収容。更新不可機器は買い替え優先度を最上位に。クラウド型DNS/DoHセキュリティで外向き通信を可視化。
中規模（50〜500名）：ネットワーク機器台帳とサポート期限を棚卸し。SIEMへルーターsyslogを集約し、公開サービス検出の継続スキャンを自動化。仮想パッチ（WAF/IPS）で一時防御。
大規模（500名〜）：NIST CSFに沿ったネットワーク境界のゼロトラスト化（管理プレーンは管理用セグメント＋強い認証）。サプライヤ連携で拠点SOHOルーターのライフサイクル管理と迅速なファーム展開を標準化。

🔎 類似事例

2025年4月のCVE-2025-2492（AiCloud有効時の認証回避）は、複数のASUS WRTルーターを乗っ取り、Operation WrtHugと呼ばれる広域キャンペーンで悪用されました。研究者は、侵害機器が中国関与とみられる作戦のORP/プロキシ中継として用いられた可能性を指摘しています。今回のCVE-2025-59366と攻撃手口（未認証リモート悪用→中継化）は戦術的に類似しています。