482/68 (IT) ประจำวันศุกร์ที่ 21 พฤศจิกายน 2568
นักวิจัยจากเปิดเผยปฎิบัติการโจมตีทางไซเบอร์ ในชื่อ Operation WrtHug ที่มุ่งเป้าโจมตีเราเตอร์ ASUS รุ่นเก่าและใกล้หมดอายุการสนับสนุน (End-of-Life) มากกว่า 50,000 เครื่องทั่วโลก โดยมีเป้าหมายหลักในไต้หวัน สหรัฐอเมริกา และรัสเซีย เพื่อสร้างเครือข่ายบอตเน็ตขนาดใหญ่ เราเตอร์ที่ถูกควบคุมส่วนใหญ่ใช้บริการ ASUS AiCloud และกว่า 99% มีลักษณะร่วมกันคือใช้ใบรับรอง TLS แบบ self-signed ที่ตั้งค่าอายุการใช้งานยาวนานถึง 100 ปี
ผู้โจมตีใช้ประโยชน์จากช่องโหว่หลายรายการในเราเตอร์ ASUS WRT ที่สิ้นสุดการสนับสนุนแล้ว โดยอาศัย “Nth day vulnerabilities” ช่องโหว่ถูกเปิดเผยต่อสาธารณะแล้วแต่ยังมีอุปกรณ์จำนวนมากไม่ได้รับการอัพเดต รวมถึงช่องโหว่ที่ถูกใช้โจมตี CVE-2023-41345 ถึง CVE-2023-41348 (OS command injection), CVE-2024-12912 (arbitrary command execution) และ CVE-2025-2492 (improper authentication) โดยเฉพาะบริการ AiCloud ถูกใช้เป็นจุดเริ่มต้นในการเข้าควบคุมอุปกรณ์ ก่อนดึงเราเตอร์เข้าร่วมเป็นส่วนหนึ่งของบอตเน็ตขนาดใหญ่
ผู้เชี่ยวชาญเชื่อว่าปฏิบัติการนี้มีความเชื่อมโยงกับกลุ่มผู้โจมตีที่มีฐานในจีน และอาจมีความเกี่ยวข้องหรือประสานงานกับบอตเน็ตตัวอื่นอย่าง AyySSHush ซึ่งถูกพบว่ามุ่งเป้าโจมตีเราเตอร์ ASUS มาก่อน รายงานชี้ให้เห็นความเสี่ยงจากการใช้อุปกรณ์เก่าที่หมดระยะการสนับสนุนและไม่ได้รับแพตช์ ขณะเดียวกัน ASUS ยืนยันว่าได้ออกอัปเดตแก้ไขช่องโหว่ทั้งหมดที่ถูกใช้ใน Operation WrtHug แล้ว แต่การป้องกันขึ้นอยู่กับผู้ดูแลระบบว่าจะเร่งอัปเดตหรือถอดอุปกรณ์รุ่นเก่าออกจากระบบเครือข่ายหรือไม่
