ボットネットがASUS製ルーター9千台超をハッキングし、永続的なSSHバックドアを仕掛ける（CVE-2023-39780）

nosa

2025.10.17

ボットネットがASUS製ルーター9,000台以上をハッキングし、永続的なSSHバックドアを仕掛ける（CVE-2023-39780）

BleepingComputer – May 28, 2025

9,000台以上のASUS製ルーターが「AyySSHush」と呼ばれる新種のボットネットに侵入された。このボットネットはCisco、D-Link、LinksysのSOHOルーターもターゲットにしていることが確認されている。

このキャンペーンは脅威インテリジェンス企業GreyNoiseのセキュリティ研究者によって2025年3月中旬に発見され、国家支援型脅威アクターの特徴を備えていると報告されたが、具体的な攻撃者は特定されていない。同社によると、攻撃ではログイン認証情報のブルートフォース攻撃、認証バイパス、古い脆弱性の悪用が組み合わされ、ASUS製ルーター（RT-AC3100、RT-AC3200、RT-AX55など）に侵入しているという。

初期アクセスの獲得後には古いコマンドインジェクションの脆弱性CVE-2023-39780を悪用し、独自のSSH公開鍵を追加してSSHデーモンが非標準TCPポート53282をリッスンできるようにしている。この変更により、攻撃者は再起動やファームウェアアップデート後もデバイスへのバックドアアクセスを維持できると説明された。

この攻撃は非常にステルス性が高く、マルウェアを使わない一方で、検出を回避するためにログ記録とトレンドマイクロのAiProtectionも無効にしている。また、過去に攻撃を受けたことがあると、ファームウェアをアップグレードしてもSSHバックドアが削除されないようだ。

GreyNoiseによると、このキャンペーンでは9,000台のASUS製ルーターに感染が確認されたものの、攻撃との関連が疑われる不正なリクエストは過去3か月で30件しか記録されていなかった。しかし、そのうち3件はGreyNoiseのAI搭載分析ツールを起動させるのに十分なもので、人間による検査が必要と判断されたという。

同キャンペーンはフランスのサイバーセキュリティ企業Sekoiaが先週公開し、「Vicious Trap」として追跡する活動と重複している可能性が指摘されている。ただし、こちらはCVE-2021-32030を悪用してASUS製ルーターに侵入したと報告されており、D-Link、Linksys、QNAP、Araknis NetworksのSOHOルーター、SSL VPN、DVR、BMCコントローラーが標的になっている。

ASUSはCVE-2023-39780に対処するセキュリティアップデートをリリースしているが、提供時期はモデルによって異なる。ユーザーには可及的速やかなファームウェアアップグレードが推奨されているが、侵害が疑われる場合にはファクトリーリセットを実施すべきとのこと。