แคมเปญ WrtHug ยึดครองเราเตอร์ ASUS กว่า 50,000 เครื่องทั่วโลก

November 20, 2025 Cybersecurity, Threats Update

พบการโจมตีแคมเปญ Operation WrtHug ที่ใช้ช่องโหว่ 6 รายการเพื่อยึดครองเราเตอร์ ASUS WRT series กว่า 50,000 IP address ทั่วโลก โดยส่วนใหญ่เป็นอุปกรณ์ที่หมดอายุหรือไม่มีการอัปเดต

ทีมวิจัยจาก SecurityScorecard STRIKE พบว่าในช่วง 6 เดือนที่ผ่านมา มีเราเตอร์ ASUS ถูกยึดครองผ่านแคมเปญ WrtHug กว่า 50,000 IP address ทั่วโลก โดยอุปกรณ์ส่วนใหญ่อยู่ในไต้หวัน ส่วนที่เหลือกระจายอยู่ใน Southeast Asia รัสเซีย ยุโรปกลาง และสหรัฐอเมริกา ที่น่าสนใจคือไม่พบการโจมตีในประเทศจีน ซึ่งอาจบ่งชี้ถึงแหล่งที่มาของผู้โจมตี แต่ยังไม่มีหลักฐานเพียงพอในการระบุตัวผู้โจมตี

การโจมตีเริ่มจากการใช้ช่องโหว่ command injection และช่องโหว่ที่เป็นที่รู้จักในเราเตอร์ ASUS WRT โดยเฉพาะรุ่น AC-series และ AX-series ช่องโหว่ที่ถูกใช้ประกอบด้วย CVE-2023-41345/46/47/48 สำหรับ OS command injection, CVE-2023-39780 สำหรับ command injection ที่เคยถูกใช้ในแคมเปญ AyySshush, CVE-2024-12912 สำหรับ arbitrary command execution และ CVE-2025-2492 ที่เป็นช่องโหว่ระดับ Critical ในการควบคุม authentication ซึ่งสามารถนำไปสู่การรันคำสั่งโดยไม่ได้รับอนุญาต ASUS เคยออกคำเตือนในเดือนเมษายนเกี่ยวกับ CVE-2025-2492 ที่สามารถใช้โจมตีผ่านฟีเจอร์ AiCloud ด้วยการส่ง crafted request

ตัวบ่งชี้การถูกโจมตี (IoC) ที่สำคัญคือการพบ self-signed TLS certificate ที่ถูกแทนที่ใน AiCloud services ซึ่งพบในอุปกรณ์ที่ถูกยึดครอง 99% โดย certificate ใหม่มีอายุการใช้งาน 100 ปี เทียบกับของเดิมที่มีเพียง 10 ปี ทีมวิจัยใช้ certificate ที่ไม่ปกตินี้ในการระบุอุปกรณ์ที่ถูกโจมตี 50,000 IP อุปกรณ์ที่เป็นเป้าหมายรวมถึง RT-AC1200HP, RT-AC1300GPLUS, GT-AC5300, GT-AX11000, DSL-AC68U, 4G-AC55U, 4G-AC860U และ RT-AC1300UHP ทีมวิจัยเชื่อว่าเราเตอร์ที่ถูกยึดครองอาจถูกใช้เป็น operational relay box (ORB) สำหรับปกปิด command-and-control infrastructure ในปฏิบัติการแฮกจากจีน

ASUS ได้ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ทั้งหมดที่ถูกใช้ในการโจมตี WrtHug แล้ว ผู้ใช้งานควรอัปเดต firmware ไปยังเวอร์ชันล่าสุดโดยด่วน สำหรับอุปกรณ์ที่ไม่ได้รับการสนับสนุนแล้ว แนะนำให้เปลี่ยนอุปกรณ์หรืออย่างน้อยควรปิดฟีเจอร์ remote access ทั้งหมด นอกจากนี้ ASUS เพิ่งแก้ไข CVE-2025-59367 ซึ่งเป็นช่องโหว่ authentication bypass ในรุ่น AC-series หลายรุ่น แม้ยังไม่ถูกใช้โจมตีแต่อาจถูกเพิ่มเข้าไปในเครื่องมือของผู้โจมตีในอนาคต

ที่มา: https://www.bleepingcomputer.com/news/security/new-wrthug-campaign-hijacks-thousands-of-end-of-life-asus-routers/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Before Quantum Breaks Your Security Be Ready with IBM Guardiumก่อน Quantum จะทำลายความปลอดภัยคุณ เตรียมให้พร้อมด้วย IBM Guardium จาก Computer Union [Guest Post]

ในยุคที่เทคโนโลยีกำลังก้าวกระโดดอย่างรวดเร็ว “Quantum Computing” กำลังถูกพูดถึงในฐานะ Game Changer ของโลกดิจิทัล แต่ในขณะเดียวกัน มันก็เป็น “Game Breaker” ด้านความปลอดภัยไซเบอร์ที่องค์กรไม่ควรมองข้าม Quantum Computing คือคอมพิวเตอร์รูปแบบใหม่ที่ใช้หลักการของ …

รู้จักกับ FortiCNAPP และ eCloudvalley AI-Powered Managed Services เพราะ Cloud Security ไม่ใช่แค่เรื่องของการมีเครื่องมือ

จากผลสำรวจ Cloud Security Report 2026 พบว่า Hybrid Cloud ได้รับความนิยมมากที่สุดในองค์กร และ 1 ใน 3 ของผู้ทำแบบสำรวจยอมรับว่าตนมีใช้ Cloud …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand