https://gigazine.net/news/20250529-thousands-asus-routers-stealthy-persistent-backdoors/
https://www.greynoise.io/blog/stealthy-backdoor-campaign-affecting-asus-routers
https://arstechnica.com/security/2025/05/thousands-of-asus-routers-are-being-hit-with-stealthy-persistent-backdoors/
世界中でASUS製ルーターが狙われている模様。
「国家または十分な資金力を持った脅威アクターにより、
再起動やファームウェア更新を回避できる
ステルス性の高いバックドアを作られる攻撃を受けている」とのこと。
「正体不明の攻撃者は、パッチ適用済みの脆弱性を悪用してルーターにアクセスします」
「脆弱性を利用してデバイスの管理権限を不正に取得した後、
脅威アクターはSSH経由でルーターにアクセスするための公開暗号鍵をインストールします。」
「これにより、秘密鍵を持つユーザーは誰でも管理者権限でルーターに自動的にログインできるようになってしまう」
「攻撃者によるアクセスは再起動やファームウェアのアップデート後も維持されるため、影響を受けたルーターを永続的に制御することが可能です」
この攻撃を受けてバックドアを仕込まれたルーターは世界に約9,000台。
現在も次第に増えているとのこと。
今のところルーターが何らかの攻撃に利用された形跡はないものの、
これらは今後行われるハッキング行為のための準備なのではないかと指摘されています。
とりあえずASUSルーターにログインして、
左の管理→サービス→SSHを有効にする が勝手に書き換えられていないか
チェックすることを推奨されています。
設定した覚えがないのにSSHが有効になっているのなら、
攻撃を受けたおそれがあるんでしょうか。
ここに見知らぬ設定があれば、
キーとポート設定を削除すればバックドアも削除されるとのこと。
WANからの接続を弾く設定にしているから大丈夫だと思っていたのですが、
未知の脆弱性を突かれることもありますし、
定期的にこのあたりを確認した方がよいんでしょうね。
コメント