Эксперты SecurityScorecard выявили вредоносную активность WrtHug, в результате которой скомпрометированы десятки тысяч маршрутизаторов Asus (Тайвань, США, Россия). Целью атаки преимущественно стали устаревшие устройства серий AC/AX. Ключевой признак заражения – замена стандартного сертификата в AiCloud самоподписанным, обнаруженным на 99% пострадавших девайсов.
Глобальный охват угрозы
Масштабная кибератака, задокументированная SecurityScorecard, затронула порядка 50 000 маршрутизаторов Asus по всему миру. Злоумышленники воспользовались шестью уязвимостями, поразив главным образом устаревшие модели линеек AC/AX.
Тайвань стал регионом с наибольшим числом инфицированных роутеров. Фиксировались инциденты также в Юго-Восточной Азии, России, Центральной Европе и США. Примечательное отсутствие активности в Китае может косвенно указывать на географию источника угрозы, хотя для точной атрибуции данных пока недостаточно. Компаниям в пораженных регионах SecurityScorecard настоятельно рекомендует усилить сетевой мониторинг, сегментацию и актуализировать политики реагирования на инциденты.
Кампания WrtHug, аналогичная предыдущей AyySSHush (GreyNoise, май 2025), стартует с эксплуатации уязвимостей: * CVE-2023-41345–CVE-2023-41348 (инъекции ОС-команд через токены), * CVE-2023-39780 (инъекция команд, как в AyySSHush), * CVE-2024-12912 (выполнение произвольных команд), * CVE-2025-2492 (критический обход аутентификации в AiCloud, ключевая точка входа).
Точка входа и признаки компрометации
Функция AiCloud, создающая приватные облачные серверы на роутерах Asus, стала главной мишенью благодаря CVE-2025-2492. Основной маркер взлома – появление в AiCloud самоподписанного TLS-сертификата со 100-летним сроком действия. Именно он помог выявить порядка 50 000 скомпрометированных устройств.
Под угрозой находились модели: * Asus 4G-AC55U; 4G-AC860U * Asus DSL-AC68U; GT-AC5300 * Asus GT-AX11000; RT-AC1200HP * Asus RT-AC1300GPLUS; RT-AC1300UHP
SecurityScorecard предполагает, что взломанные роутеры могли использоваться как прокси для маскировки вредоносного трафика, хотя конкретный перечень передаваемых данных неизвестен.
Быстрые исправления и защита
Компания Asus оперативно отреагировала, выпустив 20 ноября 2025 года патчи для всех задействованных уязвимостей. Пользователям настоятельно рекомендуется немедленно обновить прошивку.
Дополнительно компания устранила критическую уязвимость обхода аутентификации CVE-2025-59367 в моделях DSL-AC51, DSL-N16 и DSL-AC750. Хотя она пока не эксплуатируется, SecurityScorecard прогнозирует её возможное включение в арсенал киберпреступников. Для устройств без поддержки советуют отключить удаленный доступ или произвести замену, сохраняя уверенность в защите.
Источник: biz.cnews.ru
