数千台ものASUS製無線ルーターがボットネットに侵入され、Cisco、D-Link、Linksysのデバイスも標的にされています。ルーターの感染経路は、ファームウェアを更新しても攻撃者の制御下に置かれ続けることを意味します。

更新：同社は声明を発表しており、記事の末尾に追加されました。

ASUSの無線ルーターが侵害される

Greynoise のセキュリティ研究者は 3 月にこの脆弱性を初めて検出しましたが、業界が対応を調整する時間ができるまで公表を控えていました。

GreyNoiseは、インターネットに公開されている数千台のASUSルーターに攻撃者が不正かつ永続的にアクセスしている、進行中のエクスプロイトキャンペーンを特定しました。これは、バックドアデバイスの分散ネットワークを構築するためのステルス作戦の一部であると思われます。これは、将来のボットネットの基盤となる可能性があります[…]

攻撃者のアクセスは再起動やファームウェアのアップデート後も維持されるため、影響を受けるデバイスに対する永続的な制御が可能になります。攻撃者は、認証バイパスの連鎖、既知の脆弱性の悪用、正当な設定機能の悪用などにより、マルウェアを仕掛けたり、明らかな痕跡を残さずに長期的なアクセスを維持します。

この攻撃の背後には国家がおり、侵入したルーターを大規模な攻撃に利用することを計画していると考えられている。

影響を受ける ASUS ルーターには、RT-AC3100、RT-AC3200、RT-AX55 が含まれます。

ルーターが侵害されてしまうと、ファームウェアを更新するには遅すぎるとBleeping Computer は指摘しています。

この変更により、脅威アクターは再起動やファームウェアアップデート後もデバイスへのバックドアアクセスを維持できます。「このキーはASUSの公式機能を使用して追加されるため、この設定変更はファームウェアのアップグレード後も維持されます」と、GreyNoiseによる別の関連レポートで説明されています。

「以前に攻撃を受けたことがある場合は、ファームウェアをアップグレードしても SSH バックドアは削除されません。」

このエクスプロイトはログ記録もオフにするため、ルータが侵害されているかどうかを判断するのが難しくなります。

何をするか

上記のASUSモデルのいずれかをお使いの場合は、ルーターを工場出荷時の状態にリセットすることをお勧めします。これは、ルーターをクリーンな状態にする唯一の方法です。その後、ファームウェアのアップデートを行ってください。アップデートだけでは感染を完全に除去することはできませんが、完全リセット後にアップデートを行うことで、再び感染するのを防ぐことができます。

他のブランド名が付けられた場合、感染が成功したという情報はありませんので、これらについては何も対策を講じる必要はありません。

Greynoise でさらに詳しく知ることができます。

ASUSの声明

同社は次のように語った。

ASUSは、ユーザーにファームウェアの更新を促すプッシュ通知（EDM）を送信しました。ASUS
は製品セキュリティアドバイザリページも管理しており、定期的に更新されています。ASUS
製品セキュリティアドバイザリ�$B!C�(BASUS Global
CVS-2023-39780とCVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348は同じものです。MITRE
はCVEレコードを修正しました：CVE-2023-39780

さらに、サポート スタッフには、この問題に関して顧客を支援するための説明が行われました。

注目のアクセサリー

• Anker 511 Nano Pro 超小型iPhone充電器
• SpigenのiPhone 16e用MagFitケースがMagSafe対応に
• iPhone 16モデル用25W出力のApple MagSafe充電器
• 上記に対応するApple 30W充電器
• Anker 240W 編組 USB-C - USB-C ケーブル

画像: ASUSとMathias RedingのUnsplashからの9to5Macによる画像コラージュ

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。