แคมเปญบ็อตเน็ตโจมตีเราเตอร์ ASUS อย่างต่อเนื่อง
-
Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เมื่อวันที่ 2 มิถุนายน 2025 มีรายงานว่าแคมเปญบ็อตเน็ตกำลังดำเนินการโจมตีเราเตอร์ ASUS โดยมีเป้าหมายเพื่อติดตั้งช่องทางลับสำหรับการเข้าถึงผ่าน Secure Shell (SSH) อย่างถาวร ผู้ใช้งานและผู้ดูแลระบบของอุปกรณ์ที่ได้รับผลกระทบควรอัปเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
ซึ่งแคมเปญบ็อตเน็ตนี้กำลังใช้ช่องโหว่ที่ทราบอยู่แล้วในเราเตอร์ ASUS เพื่อฝังช่องทาง SSH ถาวรโดยอาศัยเทคนิคต่างๆ เช่น การเดารหัสผ่านแบบ brute-force, การข้ามการตรวจสอบสิทธิ์ และการใช้ช่องโหว่การฉีดคำสั่ง (CVE-2023-39780) เพื่อเพิ่มคีย์ SSH สาธารณะของผู้โจมตี จากนั้นจะเปิดการทำงานของ SSH daemon ให้รับฟังคำสั่งผ่านพอร์ต TCP หมายเลข 53282 (ซึ่งไม่ใช่พอร์ตปกติ) เพื่อให้สามารถเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง แม้จะมีการรีบูตหรืออัปเดตเฟิร์มแวร์ก็ตาม
ผลกระทบ
หากการโจมตีสำเร็จ ผู้โจมตีจากระยะไกลอาจสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์ เข้าถึงอย่างถาวรผ่าน SSH ดักฟังข้อมูลในเครือข่าย เคลื่อนไหวไปยังระบบภายในอื่นๆ และ/หรือใช้เราเตอร์เป็นส่วนหนึ่งของบ็อตเน็ตผลิตภัณฑ์ที่ได้รับผลกระทบ
- ASUS RT-AC3100
- ASUS RT-AC3200
- ASUS RT-AX55
แนวทางป้องกัน
- อัปเกรดซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดทันที
- ปิดฟีเจอร์การจัดการระยะไกล โดยเฉพาะการเข้าถึงจากอินเทอร์เน็ต เว้นแต่จำเป็นจริงๆ
- เปลี่ยนรหัสผ่านผู้ดูแลระบบจากค่าดีฟอลต์ให้เป็นรหัสที่รัดกุมและไม่ซ้ำใคร
- ตรวจสอบไฟล์ authorized_keys ว่ามีคีย์ SSH แปลกปลอมหรือไม่ หากสงสัยว่าอุปกรณ์ถูกแฮ็ก ให้รีเซ็ตอุปกรณ์กลับสู่ค่าโรงงาน และตั้งค่าขึ้นใหม่อย่างปลอดภัย โดยใช้รหัสผ่านที่มีความยาวอย่างน้อย 12 ตัวอักษร ประกอบด้วยตัวอักษรใหญ่ เล็ก ตัวเลข และสัญลักษณ์
บล็อก IP ที่เกี่ยวข้องกับการโจมตีนี้ ดังนี้
101.99.91[.]151
101.99.94[.]173
79.141.163[.]179
111.90.146[.]237อ้างอิง
https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-052สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
