Prima di procedere
Una vasta operazione hacker, soprannominata Operation WrtHug, ha preso di mira decine di migliaia di router Asus, concentrandosi principalmente su modelli obsoleti o fuori produzione. L'attacco sfrutta vulnerabilità già note per compromettere i dispositivi.
Negli ultimi sei mesi, le scansioni mirate a individuare i dispositivi Asus compromessi durante Operation WrtHug hanno identificato circa 50.000 indirizzi IP distribuiti in tutto il mondo. La maggior parte dei dispositivi infetti si trova a Taiwan, ma sono stati rilevati casi anche nel Sud-Est asiatico, nell'Europa centrale, in Russia e negli Stati Uniti. Sorprendentemente, non sono state registrate infezioni in Cina, nonostante non si possa escludere un coinvolgimento cinese nell'organizzazione dell'attacco. Analizzando gli obiettivi e le modalità di esecuzione, si ipotizza una possibile connessione tra Operation WrtHug e un'altra operazione precedentemente scoperta, chiamata AyySSHush.
L'attacco inizia sfruttando diverse vulnerabilità presenti nei router Asus, in particolare nelle serie AC e AX. Tra queste vulnerabilità, spiccano:
- CVE-2023-41345/46/47/48: Iniezione di comandi tramite moduli token.
- CVE-2023-39780: Grave vulnerabilità che consente l'esecuzione di comandi arbitrari, sfruttata anche nella campagna AyySSHush.
- CVE-2024-12912: Ulteriore vulnerabilità legata all'esecuzione arbitraria di comandi.
- CVE-2025-2492: Vulnerabilità di gestione impropria dell'autenticazione, classificata come l'unica con livello di minaccia critico.
Asus aveva già avvertito, ad aprile, che l'ultima vulnerabilità (CVE-2025-2492) veniva sfruttata tramite una richiesta appositamente creata verso i router con la funzione AiCloud abilitata. Un segno distintivo dell'infezione nell'ambito di Operation WrtHug è la presenza di un certificato TLS auto-firmato nel servizio AiCloud, installato in sostituzione del certificato originale di Asus. Questo certificato contraffatto è stato rilevato sul 99% dei dispositivi compromessi. La sua particolarità risiede nella durata di validità di 100 anni, nettamente superiore ai 10 anni del certificato originale. Questo certificato falsificato veniva utilizzato per identificare i 50.000 dispositivi infetti.
I modelli di router più frequentemente compromessi sono:
- Asus Wireless Router 4G-AC55U
- Asus Wireless Router 4G-AC860U
- Asus Wireless Router DSL-AC68U
- Asus Wireless Router GT-AC5300
- Asus Wireless Router GT-AX11000
- Asus Wireless Router RT-AC1200HP
- Asus Wireless Router RT-AC1300GPLUS
- Asus Wireless Router RT-AC1300UHP
Gli esperti ipotizzano che i dispositivi compromessi possano essere utilizzati come relè nascosti, server proxy ed elementi di un'infrastruttura di controllo occulta per operazioni hacker non meglio specificate. Asus ha rilasciato aggiornamenti di sicurezza per risolvere le vulnerabilità sfruttate negli attacchi di Operation WrtHug, e si raccomanda ai proprietari di router di aggiornare il firmware all'ultima versione disponibile. Se un router non è più supportato, è consigliabile sostituirlo o, quantomeno, disabilitare le funzioni di accesso remoto.
È fondamentale sottolineare l'importanza di mantenere sempre aggiornati i dispositivi di rete, in particolare i router, con le ultime patch di sicurezza rilasciate dai produttori. Questi aggiornamenti spesso correggono vulnerabilità critiche che potrebbero essere sfruttate da malintenzionati per compromettere la sicurezza della rete domestica o aziendale. Inoltre, è consigliabile disabilitare le funzionalità non essenziali e modificare le password predefinite per ridurre ulteriormente il rischio di attacchi.
