JP



JP
BigGo MagBigGoについて採用情報お問い合わせUser Termsヘルプセンター
© 2025 BigGo
インストール
BigGo価格比較ヘルパー
ニュース
テクノロジー
セキュリティ
コンピューターコンポーネント
ネットワークデバイス

約9,000台の Asus ルーターがファームウェア更新後も残存する永続的 SSH バックドアによって侵害される

BigGo Editorial Team
約9,000台の Asus ルーターがファームウェア更新後も残存する永続的 SSH バックドアによって侵害される

巧妙なサイバー攻撃キャンペーンが世界中の約9,000台の Asus ルーターの侵害に成功し、ファームウェア更新やデバイス再起動後も活動し続ける永続的なバックドアを設置した。2025年3月にサイバーセキュリティ企業 GreyNoise によって発見されたこの攻撃は、複数の脆弱性を悪用して長期間の不正アクセスを確立し、大規模なボットネット構築に利用される可能性がある。

高度な攻撃手法が標準的なセキュリティ対策を回避

攻撃者は、特定の Asus ルーターモデルを標的とした認証回避技術から始まる多段階アプローチを採用している。RT-AC3200 および RT-AC3100 ルーターに対しては、脅威アクターが正規の Asus ユーザーエージェントになりすまし、クッキー解析を操作することで認証を完全に回避する未公開の脆弱性を悪用している。GT-AC2900 および Lyra Mini デバイスは、不正な管理者アクセスを許可する別の認証回避脆弱性である CVE-2021-32030 の犠牲となっている。

影響を受ける Asus ルーターモデル:

  • RT-AC3200 および RT-AC3100 (文書化されていない認証バイパス)
  • GT-AC2900 および Lyra Mini (CVE-2021-32030)
  • RT-AX55 シリーズ(CVE-2023-39780)

コマンドインジェクション脆弱性がシステムレベルの制御を可能にする

ルーターの管理インターフェースに侵入すると、攻撃者は RT-AX55 シリーズモデルに影響する コマンドインジェクション脆弱性である CVE-2023-39780 を悪用する。この欠陥により、悪意のあるアクターはルーターの帯域幅 SQLite ログ機能を通じて任意のシステムコマンドを実行でき、デバイスの設定と機能を完全に制御することができる。

悪用された主要な脆弱性:

  • 未文書化の認証回避( CVE 未割り当て)
  • CVE-2021-32030: 認証回避の脆弱性
  • CVE-2023-39780: Bandwidth SQLite Logging を通じたコマンドインジェクション

永続的なバックドア設計が標準的なセキュリティ対策を回避

この攻撃の最も懸念すべき側面は、その永続化メカニズムにある。従来のマルウェアをインストールするのではなく、攻撃者は正規のルーター機能を操作してアクセスを維持する。彼らは非標準ポート TCP 53282 で SSH サービスを有効にし、リモート管理制御のために独自の公開 SSH キーをインストールする。重要なことに、これらの設定変更はルーターの不揮発性ランダムアクセスメモリ(NVRAM)に保存されるため、バックドアはファームウェア更新とデバイス再起動の両方を生き延びることができる。

攻撃の特徴:

  • バックドアポート: TCP 53282 ( SSH アクセス)
  • 保存場所: 不揮発性 RAM ( NVRAM )
  • 持続性: ファームウェアアップデートと再起動後も存続
  • 検出回避: ログ記録とセキュリティ機能を無効化

ステルス操作が検出システムを回避

このキャンペーンは検出回避において驚くべき巧妙さを示している。攻撃者はシステムログと Asus の AiProtection セキュリティ機能を体系的に無効化し、標準的な監視ツールに対してその存在をほぼ見えなくしている。GreyNoise の AI 駆動分析ツール Sift は、数千台のデバイスの侵害成功にもかかわらず、3か月間でわずか30の悪意のあるリクエストしか検出せず、この攻撃のステルス能力を浮き彫りにしている。

ファームウェア更新は侵害されたデバイスに対して限定的な保護しか提供しない

Asus は悪用された脆弱性に対処するファームウェア更新をリリースしているが、これらのパッチは主に侵害されていないデバイスの予防措置として機能する。すでにバックドアに感染したルーターは、標準的なアップグレード手順では上書きされない不揮発性メモリに悪意のある設定が残存するため、ファームウェア更新後も不正アクセスを保持する。

侵害が疑われるデバイスの修復手順:

  1. TCP ポート 53282 での SSH アクセスを確認する
  2. authorized_keys ファイルで未承認のエントリを確認する
  3. 既知の悪意のある IP アドレスをブロックする
  4. 完全な工場出荷時設定へのリセットを実行する
  5. ルーターを一から再設定する
  6. 最新のファームウェアアップデートを適用する

感染したデバイスには完全な工場出荷時リセットが必要

セキュリティ専門家は、影響を受ける可能性のある Asus ルーターモデルのユーザーに対して、包括的なセキュリティチェックを実行することを強く推奨している。これには、不正な SSH アクセスについて TCP ポート 53282 を調査し、馴染みのないエントリについて authorized_keys ファイルを確認することが含まれる。侵害が疑われるデバイスについては、完全な工場出荷時リセットとその後の完全な再設定のみが永続的なバックドアを除去できる。ユーザーはまた、再感染を防ぐためにキャンペーンに関連する既知の悪意のある IP アドレスをブロックすべきである。

関連ニュース