<![CDATA[แคมเปญบ็อตเน็ตโจมตีเราเตอร์ ASUS อย่างต่อเนื่อง]]>

<![CDATA[แคมเปญบ็อตเน็ตโจมตีเราเตอร์ ASUS อย่างต่อเนื่อง]]>Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เมื่อวันที่ 2 มิถุนายน 2025 มีรายงานว่าแคมเปญบ็อตเน็ตกำลังดำเนินการโจมตีเราเตอร์ ASUS โดยมีเป้าหมายเพื่อติดตั้งช่องทางลับสำหรับการเข้าถึงผ่าน Secure Shell (SSH) อย่างถาวร ผู้ใช้งานและผู้ดูแลระบบของอุปกรณ์ที่ได้รับผลกระทบควรอัปเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

ซึ่งแคมเปญบ็อตเน็ตนี้กำลังใช้ช่องโหว่ที่ทราบอยู่แล้วในเราเตอร์ ASUS เพื่อฝังช่องทาง SSH ถาวรโดยอาศัยเทคนิคต่างๆ เช่น การเดารหัสผ่านแบบ brute-force, การข้ามการตรวจสอบสิทธิ์ และการใช้ช่องโหว่การฉีดคำสั่ง (CVE-2023-39780) เพื่อเพิ่มคีย์ SSH สาธารณะของผู้โจมตี จากนั้นจะเปิดการทำงานของ SSH daemon ให้รับฟังคำสั่งผ่านพอร์ต TCP หมายเลข 53282 (ซึ่งไม่ใช่พอร์ตปกติ) เพื่อให้สามารถเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง แม้จะมีการรีบูตหรืออัปเดตเฟิร์มแวร์ก็ตาม

ผลกระทบ
หากการโจมตีสำเร็จ ผู้โจมตีจากระยะไกลอาจสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์ เข้าถึงอย่างถาวรผ่าน SSH ดักฟังข้อมูลในเครือข่าย เคลื่อนไหวไปยังระบบภายในอื่นๆ และ/หรือใช้เราเตอร์เป็นส่วนหนึ่งของบ็อตเน็ต

ผลิตภัณฑ์ที่ได้รับผลกระทบ

ASUS RT-AC3100
ASUS RT-AC3200
ASUS RT-AX55

แนวทางป้องกัน

อัปเกรดซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดทันที
ปิดฟีเจอร์การจัดการระยะไกล โดยเฉพาะการเข้าถึงจากอินเทอร์เน็ต เว้นแต่จำเป็นจริงๆ
เปลี่ยนรหัสผ่านผู้ดูแลระบบจากค่าดีฟอลต์ให้เป็นรหัสที่รัดกุมและไม่ซ้ำใคร
ตรวจสอบไฟล์ authorized_keys ว่ามีคีย์ SSH แปลกปลอมหรือไม่ หากสงสัยว่าอุปกรณ์ถูกแฮ็ก ให้รีเซ็ตอุปกรณ์กลับสู่ค่าโรงงาน และตั้งค่าขึ้นใหม่อย่างปลอดภัย โดยใช้รหัสผ่านที่มีความยาวอย่างน้อย 12 ตัวอักษร ประกอบด้วยตัวอักษรใหญ่ เล็ก ตัวเลข และสัญลักษณ์

บล็อก IP ที่เกี่ยวข้องกับการโจมตีนี้ ดังนี้
101.99.91[.]151
101.99.94[.]173
79.141.163[.]179
111.90.146[.]237

อ้างอิง
https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-052

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

]]>https://webboard-nsoc.ncsa.or.th/topic/1946/แคมเปญบ-อตเน-ตโจมต-เราเตอร-asus-อย-างต-อเน-องRSS for NodeTue, 17 Mar 2026 10:06:57 GMTMon, 02 Jun 2025 13:54:48 GMT60