การโจมตีทางไซเบอร์ที่ซับซ้อนได้สำเร็จในการเจาะเข้าไปในเราเตอร์ Asus เกือบ 9,000 เครื่องทั่วโลก โดยติดตั้ง backdoor ที่คงอยู่แม้หลังจากการอัปเดตเฟิร์มแวร์และการรีบูตอุปกรณ์ การโจมตีนี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ในเดือนมีนาคม 2025 โดยใช้ประโยชน์จากช่องโหว่หลายจุดเพื่อสร้างการเข้าถึงที่ไม่ได้รับอนุญาตในระยะยาว ซึ่งอาจถูกใช้เพื่อสร้างบอตเน็ตขนาดใหญ่
วิธีการโจมตีขั้นสูงที่หลีกเลี่ยงมาตรการรักษาความปลอดภัยมาตรฐาน
ผู้โจมตีใช้แนวทางหลายขั้นตอนที่เริ่มต้นด้วยเทคนิคการหลีกเลี่ยงการยืนยันตัวตนที่มุ่งเป้าไปยังรุ่นเราเตอร์ Asus เฉพาะ สำหรับเราเตอร์ RT-AC3200 และ RT-AC3100 ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ไม่มีเอกสารบันทึกโดยการปลอมตัวเป็น user agent ของ Asus ที่ถูกต้องและจัดการการแยกวิเคราะห์ cookie เพื่อหลีกเลี่ยงการยืนยันตัวตนทั้งหมด อุปกรณ์ GT-AC2900 และ Lyra Mini ตกเป็นเหยื่อของ CVE-2021-32030 ซึ่งเป็นช่องโหว่การหลีกเลี่ยงการยืนยันตัวตนอีกประเภทหนึ่งที่ให้การเข้าถึงระดับผู้ดูแลระบบโดยไม่ได้รับอนุญาต
รุ่น Router Asus ที่ได้รับผลกระทบ:
- RT-AC3200 และ RT-AC3100 (ช่องโหว่การข้ามการยืนยันตัวตนที่ไม่มีเอกสารบันทึก)
- GT-AC2900 และ Lyra Mini (CVE-2021-32030)
- RT-AX55 series (CVE-2023-39780)
ช่องโหว่การฉีด Command ทำให้สามารถควบคุมระบบได้
เมื่อเข้าไปในส่วนติดต่อผู้ดูแลระบบของเราเตอร์แล้ว ผู้โจมตีใช้ประโยชน์จาก CVE-2023-39780 ซึ่งเป็นช่องโหว่การฉีด command ที่ส่งผลกระทบต่อรุ่น RT-AX55 series ข้อบกพร่องนี้ช่วยให้ผู้ร้ายสามารถดำเนินการคำสั่งระบบโดยพลการผ่านฟีเจอร์ Bandwidth SQLite Logging ของเราเตอร์ ซึ่งทำให้พวกเขามีการควบคุมอย่างสมบูรณ์เหนือการกำหนดค่าและการทำงานของอุปกรณ์
ช่องโหว่หลักที่ถูกใช้ประโยชน์:
- การข้ามการตรวจสอบสิทธิ์ที่ไม่มีเอกสารบันทึก (ไม่มีการกำหนด CVE )
- CVE-2021-32030 : ช่องโหว่การข้ามการตรวจสอบสิทธิ์
- CVE-2023-39780 : การฉีด Command ผ่าน Bandwidth SQLite Logging
การออกแบบ Backdoor ที่คงอยู่แม้หลังมาตรการรักษาความปลอดภัยมาตรฐาน
ด้านที่น่ากังวลที่สุดของการโจมตีนี้อยู่ที่กลไกการคงอยู่ แทนที่จะติดตั้งมัลแวร์แบบดั้งเดิม ผู้โจมตีจัดการฟีเจอร์ที่ถูกต้องของเราเตอร์เพื่อรักษาการเข้าถึง พวกเขาเปิดใช้งานบริการ SSH บนพอร์ต TCP 53282 ที่ไม่ใช่มาตรฐานและติดตั้ง public SSH key ของตนเองสำหรับการควบคุมระยะไกลของผู้ดูแลระบบ ที่สำคัญคือ การเปลี่ยนแปลงการกำหนดค่าเหล่านี้ถูกเก็บไว้ในหน่วยความจำแบบไม่ลบเลือนแบบสุ่ม (NVRAM) ของเราเตอร์ ทำให้ backdoor คงอยู่แม้หลังจากการอัปเดตเฟิร์มแวร์และการรีสตาร์ทอุปกรณ์
ลักษณะของการโจมตี:
- พอร์ตช่องทางลับ: TCP 53282 (การเข้าถึง SSH )
- ตำแหน่งการจัดเก็บ: Non-volatile RAM ( NVRAM )
- ความคงทน: รอดพ้นจากการอัปเดตเฟิร์มแวร์และการรีบูต
- การหลบหลีกการตรวจจับ: ปิดใช้งานการบันทึกข้อมูลและฟีเจอร์ความปลอดภัย
การดำเนินการแบบลับหลีกเลี่ยงระบบตรวจจับ
แคมเปญนี้แสดงให้เห็นถึงความซับซ้อนที่น่าทึ่งในการหลีกเลี่ยงการตรวจจับ ผู้โจมตีปิดใช้งานการบันทึกระบบและฟีเจอร์ความปลอดภัย AiProtection ของ Asus อย่างเป็นระบบ ทำให้การปรากฏตัวของพวกเขาแทบจะมองไม่เห็นต่อเครื่องมือตรวจสอบมาตรฐาน เครื่องมือวิเคราะห์ที่ขับเคลื่อนด้วย AI ของ GreyNoise ที่ชื่อ Sift ตรวจพบคำขอที่เป็นอันตรายเพียง 30 รายการในช่วงสามเดือน แม้จะมีการเจาะเข้าไปในอุปกรณ์หลายพันเครื่องสำเร็จ ซึ่งเน้นย้ำถึงความสามารถในการซ่อนตัวของการโจมตี
การอัปเดตเฟิร์มแวร์ให้การป้องกันที่จำกัดสำหรับอุปกรณ์ที่ถูกเจาะ
แม้ว่า Asus ได้ปล่อยการอัปเดตเฟิร์มแวร์ที่แก้ไขช่องโหว่ที่ถูกใช้ประโยชน์แล้ว แต่แพตช์เหล่านี้ทำหน้าที่เป็นมาตรการป้องกันสำหรับอุปกรณ์ที่ยังไม่ถูกเจาะเป็นหลัก เราเตอร์ที่ติดเชื้อ backdoor แล้วจะยังคงมีการเข้าถึงที่ไม่ได้รับอนุญาตแม้หลังจากการอัปเดตเฟิร์มแวร์ เนื่องจากการกำหนดค่าที่เป็นอันตรายคงอยู่ในหน่วยความจำแบบไม่ลบเลือนที่ขั้นตอนการอัปเกรดมาตรฐานไม่ได้เขียนทับ
ขั้นตอนการแก้ไขสำหรับอุปกรณ์ที่สงสัยว่าถูกบุกรุก:
- ตรวจสอบการเข้าถึง SSH บนพอร์ต TCP 53282
- ตรวจสอบไฟล์ authorized_keys เพื่อหารายการที่ไม่ได้รับอนุญาต
- บล็อกที่อยู่ IP ที่เป็นอันตรายที่ทราบแล้ว
- ทำการรีเซ็ตกลับสู่ค่าเริ่มต้นจากโรงงานอย่างสมบูรณ์
- ตั้งค่าเราเตอร์ใหม่ตั้งแต่เริ่มต้น
- ติดตั้งอัปเดตเฟิร์มแวร์ล่าสุด
จำเป็นต้องรีเซ็ตจากโรงงานอย่างสมบูรณ์สำหรับอุปกรณ์ที่ติดเชื้อ
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำอย่างยิ่งให้ผู้ใช้รุ่นเราเตอร์ Asus ที่อาจได้รับผลกระทบทำการตรวจสอบความปลอดภัยอย่างครอบคลุม ซึ่งรวมถึงการตรวจสอบพอร์ต TCP 53282 สำหรับการเข้าถึง SSH ที่ไม่ได้รับอนุญาตและการตรวจสอบไฟล์ authorized_keys สำหรับรายการที่ไม่คุ้นเคย สำหรับอุปกรณ์ที่สงสัยว่าถูกเจาะ เฉพาะการรีเซ็ตจากโรงงานอย่างสมบูรณ์ตามด้วยการกำหนดค่าใหม่ทั้งหมดเท่านั้นที่สามารถกำจัด backdoor ที่คงอยู่ได้ ผู้ใช้ควรบล็อกที่อยู่ IP ที่เป็นอันตรายที่ทราบซึ่งเกี่ยวข้องกับแคมเปญเพื่อป้องกันการติดเชื้อซ้ำ
