JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月17日、「AiCloudが稼働するASUS製WiFiルーターからの通信の観測」において、ASUS製ルータから意図しない通信の増加を観測したとして注意を喚起した。ASUS製ルータが侵害されボットネットに組み込まれた可能性がある。
-
AiCloudが稼働するASUS製WiFiルータからの通信の観測
AiCloudを有効化しているルーターが狙われた可能性
JPCERT/CCは侵害の原因として、2025年1月に公表された次の2件の脆弱性を指摘。
- CVE-2024-12912 - AiCloudに不適切な入力検証の脆弱性。管理者として認証されたリモートの攻撃者は、任意のコマンドを実行できる可能性がある(CVSSスコア: 7.2)
- CVE-2024-13062 - 隠し機能にコマンドインジェクションの脆弱性。管理者として認証されたリモートの攻撃者は、任意のコマンドを実行できる可能性がある(CVSSスコア: 7.2)
ASUSは製品セキュリティアドバイザリー「ASUS Product Security Advisory | ASUS Global」においてこれら脆弱性の概要を公開し、悪用には管理者として認証する必要があると説明している。しかしながら、情報通信研究機構(NICT: National Institute of Information and Communications Technology)の発表によると、認証は必要ないという。
4月16日にNICTはブログ「ASUS製WiFiルーターのAiCloudの脆弱性を悪用する攻撃に関する注意喚起 - NICTER Blog」で、次のように述べている。
「本脆弱性は、認証を必要とせず、AiCloudの管理画面にアクセス可能な状態であれば攻撃が成立します。特に、AiCloud機能は、有効にするだけで自動的にインターネット上に管理画面が公開される仕様であるため、ユーザが意図せず外部からのアクセスを許可してしまっているケースがあり、注意が必要です」
つまり、AiCloudを有効化するだけで外部から侵害可能ということになる。共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)による深刻度の評価は重要(Important)にとどまるが、実際の深刻度は緊急(Critical)に相当するものとみられる。
脆弱性が存在する製品
脆弱性はAiCloudを搭載しているすべてのASUS製ルータに存在する可能性がある。ASUSは「特定のルータ」と表現し、正確な製品一覧を公開していない。
ASUS公式発表ではないが、NICTによると次のAiCloudバージョンが影響を受ける可能性がある。
- AiCloud バージョン2.0.2.36およびこれ以前のバージョン
また、日本国内で販売された次の製品はサポート終了(EOL: End-of-Life)に達しており、最新のファームウェアに更新しても対象の脆弱性を対策できないと発表されている。
- RT-N56U
- RT-AC56S
- RT-AC1200HP
- RT-AC3200
- RT-AC85U
- RT-AC87U
- BRT-AC828
- ZenWiFi AC (CT8)
脆弱性が修正された製品
NICTの発表によると、脆弱性が修正されたAiCloudバージョンは次のとおりとのこと。
- AiCloud 2.0.2.37およびこれ以上のバージョン
対策
AiCloudを搭載したASUSルータを運用し、なおかつAiCloudを有効化している場合は速やかに次の対策を実施することが推奨されている。
- ファームウェアを最新バージョンにアップデートする
- AiCloudのバージョンを確認する。一部製品はファームウェアアップデート後もAiCloudを更新しないことが確認されている
AiCloudを対策バージョンにアップデートできない場合は、AiCloudを無効化するか、または製品の使用を中止することが推奨されている。
すでにASUSルーターからの大量の通信が観測されており、多くのデバイスがボットネットの一部に組み込まれた可能性がある。管理している製品が犯罪に悪用されることのないよう、速やかな対策が望まれている。
グループ全体のセキュリティ強化を目指す、三井不動産グループの取り組みとは
