Під час масштабної хакерської атаки, що отримала назву Operation WrtHug, було зламано кілька десятків тисяч маршрутизаторів Asus — переважно застарілих або знятих з виробництва. Схема атаки передбачає експлуатацію вже відомих уразливостей.
За останні шість місяців сканери, налаштовані на пошук скомпрометованих у межах цієї кампанії пристроїв Asus, виявили приблизно 50 тис. адрес по всьому світу. Більшість уражених роутерів мають тайванські IP-адреси, але їх також зафіксовано у Південно-Східній Азії, Центральній Європі, США. Примітно, що не виявлено жодного зараження в Китаї, хоча підтвердити китайський слід організаторів атаки не вдалося. Виходячи з цілей та методів, дослідники не виключають зв’язок між Operation WrtHug та раніше виявленою кампанією AyySSHush.
Атака починається з експлуатації вразливостей у роутерах Asus — головно серій AC та AX. Серед них:
- CVE-2023-41345/46/47/48 — командна ін’єкція через модулі токенів;
- CVE-2023-39780 — критична вразливість, що дозволяє виконувати довільні команди; її експлуатували в кампанії AyySSHush;
- CVE-2024-12912 — ще одна вразливість, пов’язана з можливістю довільного виконання команд;
- CVE-2025-2492 — вразливість неналежного управління автентифікацією; єдина з критичним рівнем небезпеки.
Останню вразливість, про яку Asus попередили у квітні, можна експлуатувати через спеціально сформований запит до роутера, якщо на ньому активовано функцію AiCloud. Головною ознакою, за якою ідентифікували злом у межах Operation WrtHug, стало встановлення самопідписаного TLS-сертифіката в службі AiCloud замість оригінального сертифіката від Asus. Підроблений сертифікат виявили на 99% зламаних пристроїв. Він привернув увагу тим, що його строк дії становить 100 років, тоді як справжній має термін лише 10 років. Саме за цим сертифікатом дослідники ідентифікували 50 тис. заражених пристроїв.
Найчастіше зламуються роутери таких моделей:
- Asus Wireless Router 4G-AC55U
- Asus Wireless Router 4G-AC860U
- Asus Wireless Router DSL-AC68U
- Asus Wireless Router GT-AC5300
- Asus Wireless Router GT-AX11000
- Asus Wireless Router RT-AC1200HP
- Asus Wireless Router RT-AC1300GPLUS
- Asus Wireless Router RT-AC1300UHP
За оцінками експертів, зламані пристрої можуть використовуватися як приховані ретранслятори, проксі-сервери або елементи інфраструктури управління під час хакерських операцій — сам характер цих операцій не уточнюється.
Asus вже випустила оновлення безпеки, що усувають уразливості, які використовуються в атаках Operation WrtHug. Власникам роутерів рекомендується оновити прошивку до останньої доступної версії. Якщо маршрутизатор знято з підтримки, компанія радить замінити його на сучасну модель, що отримує оновлення безпеки.