WrtHug khai thác lỗ hổng WRT của ASUS để chiếm quyền điều khiển bộ định tuyến

[Starlink]

Một chiến dịch mới được phát hiện đã xâm nhập vào hàng chục nghìn bộ định tuyến ASUS lỗi thời hoặc hết hạn sử dụng trên toàn thế giới, chủ yếu ở Đài Loan, Hoa Kỳ và Nga, để kết nối chúng vào một mạng lưới khổng lồ.

Hoạt động chiếm quyền điều khiển bộ định tuyến được nhóm STRIKE của SecurityScorecard đặt tên mã là Chiến dịch WrtHug. Đông Nam Á và các nước châu Âu là một số khu vực khác đã ghi nhận các vụ lây nhiễm. Trong sáu tháng qua, hơn 50.000 địa chỉ IP duy nhất thuộc về các thiết bị bị xâm nhập này trên toàn cầu đã được xác định.

Các cuộc tấn công có thể liên quan đến việc khai thác sáu lỗ hổng bảo mật đã biết trong các bộ định tuyến ASUS WRT đã hết hạn sử dụng để kiểm soát các thiết bị dễ bị tấn công. Tất cả các bộ định tuyến bị nhiễm đều được phát hiện sử dụng chung một chứng chỉ TLS tự ký duy nhất với ngày hết hạn được đặt là 100 năm, kể từ tháng 4 năm 2022.

SecurityScorecard cho biết 99% dịch vụ cung cấp chứng chỉ này là ASUS AiCloud, một dịch vụ độc quyền được thiết kế để cho phép truy cập vào bộ nhớ cục bộ qua Internet.

"Nó lợi dụng dịch vụ AiCloud độc quyền với lỗ hổng n-day để có được đặc quyền cao trên các bộ định tuyến ASUS WRT đã hết vòng đời", công ty cho biết trong báo cáo chia sẻ với The Hacker News, đồng thời nói thêm rằng chiến dịch này tuy không hẳn là Hộp chuyển tiếp hoạt động (ORB), nhưng có điểm tương đồng với các ORB và mạng botnet khác có liên kết với Trung Quốc.

Các cuộc tấn công có khả năng khai thác các lỗ hổng được theo dõi là CVE-2023-41345, CVE-2023-41346, CVE -2023-41347, CVE-2023-41348, CVE-2023-39780, CVE-2024-12912 và CVE -2025-2492 để phát tán. Điều thú vị là việc khai thác CVE-2023-39780 cũng có liên quan đến một botnet khác có nguồn gốc từ Trung Quốc có tên là AyySSHush (hay còn gọi là ViciousTrap). Hai ORB khác đã nhắm mục tiêu vào các bộ định tuyến trong những tháng gần đây là LapDogs và PolarEdge.

Trong số tất cả các thiết bị bị nhiễm, bảy địa chỉ IP đã được gắn cờ vì có dấu hiệu xâm phạm liên quan đến cả WrtHug và AyySSHush, làm dấy lên khả năng hai cụm này có liên quan đến nhau. Tuy nhiên, không có bằng chứng nào ủng hộ giả thuyết này ngoài lỗ hổng chung.

Danh sách các mẫu bộ định tuyến bị nhắm mục tiêu trong các cuộc tấn công như sau:

    Bộ định tuyến không dây ASUS 4G-AC55U
    Bộ định tuyến không dây ASUS 4G-AC860U
    Bộ định tuyến không dây ASUS DSL-AC68U
    Bộ định tuyến không dây ASUS GT-AC5300
    Bộ định tuyến không dây ASUS GT-AX11000
    Bộ định tuyến không dây ASUS RT-AC1200HP
    Bộ định tuyến không dây ASUS RT-AC1300GPLUS
    Bộ định tuyến không dây ASUS RT-AC1300UHP

Hiện vẫn chưa rõ ai là người đứng sau hoạt động này, nhưng việc nhắm mục tiêu rộng rãi vào Đài Loan và trùng lặp với các chiến thuật trước đây được quan sát thấy trong các chiến dịch ORB từ các nhóm tin tặc Trung Quốc cho thấy đây có thể là hành động của một thế lực chưa xác định có liên hệ với Trung Quốc.

"Nghiên cứu này nhấn mạnh xu hướng ngày càng tăng của các tác nhân đe dọa độc hại nhắm vào bộ định tuyến và các thiết bị mạng khác trong các hoạt động lây nhiễm hàng loạt", SecurityScorecard cho biết. "Những tác nhân này thường (nhưng không hoàn toàn) có liên quan đến các tác nhân China Nexus, những kẻ thực hiện các chiến dịch của mình một cách cẩn thận và có tính toán để mở rộng và tăng cường phạm vi hoạt động toàn cầu."

"Bằng cách kết hợp các lệnh tiêm và bỏ qua xác thực, kẻ tấn công đã có thể triển khai các cửa hậu cố định thông qua SSH, thường lợi dụng các tính năng hợp lệ của bộ định tuyến để đảm bảo sự hiện diện của chúng sau khi khởi động lại hoặc cập nhật chương trình cơ sở."