GreyNoiseは5月28日(米国時間)、「GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers」において、ASUSルータを侵害する新しいサイバー攻撃を発見したと報じた。

5月27日までに約9,000台のASUSルータが侵害され、永続的なバックドアを設置されたことが確認されている。その数は日々着実に増加しているが、不審な兆候はわずかしか検出できず、攻撃者は気づかれないように静かに攻撃を実施しているものと推測されている。

  • GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers

    GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers

侵害経路

GreyNoiseは侵害経路として、以下を公開している。

  • ブルートフォース攻撃、または2つの認証バイパスの脆弱性を悪用して侵入する。これら脆弱性は本稿執筆時点において共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)の割り当てがない
  • 侵入すると既知の脆弱性「CVE-2023-39780」を悪用して任意のコマンドを実行し、次の目的を達成する
  • 永続性を確保するまでログの記録を無効にする
  • ASUSの公式手順に従い、SSHアクセス(TCP/ポート53282)を有効化する
  • 攻撃者の公開鍵をSSHのauthorized_keysに登録する
  • これら設定をNVRAMに保存する

攻撃者はログを無効化し、公式手順を踏襲することで痕跡を残さない戦術を使用している。GreyNoiseはこの巧妙な戦術について、高度な技術力を持つ持続的標的型攻撃(APT: Advanced Persistent Threat)グループなどの戦術と一致すると明らかにしつつ、その関与が疑われると述べるにとどめている。

影響と対策

この攻撃では、ASUSルーターにバックドアを設置するだけで他の活動は確認されていない。そのため、秘密裏に分散ネットワーク(ボットネット)を構築するための事前準備とみられている。

GreyNoiseは次の製品が標的になっていると明らかにしているが、その他の製品への影響はわかっていない。

  • RT-AC3100
  • RT-AC3200
  • RT-AX55

この攻撃によって変更される設定はNVRAMに保存される。そのため永続性があり、再起動やファームウェアアップデートでは修正することができない。そこでGreyNoiseは次の手順で確認および修正することを推奨している。

  • ASUSルータにSSHアクセス(TCP/ポート53282)が可能か確認する
  • ルータに保存されたauthorized_keysから攻撃者の公開鍵を確認する
  • 侵害の兆候が確認された場合は、工場出荷時の設定にリセットしてファームウェアをアップデートする
  • 必要な設定を行う
  • 攻撃に使用されるIPアドレスをブロックする

攻撃者の公開鍵および攻撃に使用されるIPアドレスは、GreyNoiseが公開したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)または詳細な分析レポート「AyySSHush: Tradecraft of an emergent ASUS botnet – GreyNoise Labs」から確認することができる。また、初期の侵入を回避するため、デバイスのパスワードには一意で強力なものを設定することが推奨されている。