博士

ロボ子、大変なのじゃ！マルウェアを使わないバックドア攻撃で、数千台ものASUSルーターが乗っ取られているらしいぞ！

ロボ子

それは大変ですね、博士。マルウェアを使わないとは、どういうことでしょうか？

博士

攻撃者は、ルーターのセキュリティ脆弱性や正規の機能を利用して、バックドアを仕掛けているらしいのじゃ。しかも、再起動やファームウェアアップデート後も残る、厄介なものらしいぞ。

ロボ子

なるほど。GreyNoiseというところが、AI搭載ツールで攻撃を検出し、Sekoia.ioというところも大規模なキャンペーンを確認したとのことですね。

博士

そうそう。Sekoia.ioは、攻撃者がTCP/53282ポートを使ってSSHアクセスを試みていることを発見したらしいぞ。まるで合言葉みたいじゃな。

ロボ子

複数のASUSルーターモデルが標的になっているようですが、初期アクセスはどのように取得しているのでしょうか？

博士

認証情報のブルートフォース攻撃と、認証バイパスの脆弱性を組み合わせて悪用しているらしいのじゃ。例えば、「asusrouter--」というユーザーエージェントを偽装したり、「asus_token=」クッキーの後にヌルバイトを挿入したりするらしいぞ。

ロボ子

CVE-2021-32030の悪用も指摘されていますね。

博士

認証されたアクセスを取得すると、ルーターの設定やセキュリティの欠陥を悪用して、TCP/53282でSSH接続を確立し、攻撃者が制御する公開鍵を使うらしいのじゃ。まるで秘密の抜け穴じゃな。

ロボ子

ASUS RT-AX55モデルでは、CVE-2023-39780として追跡されている脆弱性が悪用され、Bandwidth SQLite Logging（BWSQL）というロギング機能がアクティブ化されるとのことです。

博士

このバックドア構成がNVRAMに保存されるから、再起動やファームウェアのアップグレードでも消えないのがミソなのじゃ！

ロボ子

対策としては、工場出荷時設定へのリセットと手動での再構成が推奨されていますね。TCP/53282でのSSHアクセスや、authorized_keysファイル内の不正なエントリを確認することも重要です。

博士

組織は、GreyNoiseとSekoia.ioのレポートで特定された悪意のあるIPアドレスをブロックし、ルーターが完全にアップデートされていることを確認する必要があるのじゃ。

ロボ子

今回の件で、ルーターのセキュリティ対策の重要性を改めて認識しました。博士、ありがとうございました。

博士

どういたしまして、ロボ子。しかし、ルーターがハッキングされるなんて、まるで家に泥棒が入るようなものじゃな。…って、ロボ子！私のプリン盗んだの、お前じゃな！？