Корпорация ASUS выпустила исправления для опасной уязвимости в облачной функции AiCloud, встроенной в её маршрутизаторы. Уязвимость, получившая идентификатор CVE-2025-2492, позволяет полностью обойти аутентификацию. Она уже активно эксплуатируется в реальных атаках для заражения устройств вредоносным ПО и включения их в бот-сети. Эксперты настоятельно рекомендуют пользователям немедленно обновить прошивку или отключить уязвимую функцию.
Описание
Функция AiCloud позволяет использовать подключённый к маршрутизатору USB-накопитель в качестве персонального сетевого хранилища (NAS) с доступом через интернет. Проблема заключалась в обработке URL-запросов встроенным веб-сервером на базе lighttpd. Из-за ошибки в логике контроля доступа злоумышленник мог отправить специально сформированный HTTP-запрос и получить несанкционированный доступ к управлению функцией, не вводя логин и пароль.
Эта уязвимость затрагивает версии AiCloud 2.0.0.39 и более ранние. Исправление было выпущено в версии 2.0.0.40. По состоянию на конец ноября 2025 года, в мире всё ещё оставалось около 5600 публично доступных маршрутизаторов ASUS с уязвимой версией ПО, из них примерно 90 - в Японии.
Главная опасность уязвимости заключается в её активном использовании киберпреступниками. Специалисты японского центра мониторинга киберугроз NICT (Национальный институт информационных и коммуникационных технологий) в рамках проекта NICTER зафиксировали сканирующую активность, характерную для ботнета на базе модифицированного вредоносного ПО Mirai. Обратное сканирование показало, что источником этой активности являются заражённые маршрутизаторы ASUS. По оценкам на март 2025 года, в глобальную бот-сеть было вовлечено около 2500 устройств, включая примерно 100 в Японии.
После успешного обхода аутентификации через CVE-2025-2492 злоумышленники использовали вторую уязвимость - CVE-2024-12912, связанную с внедрением команд. В результате они получали полный контроль над устройством. Зафиксированные действия включали перезапись правил межсетевого экрана, несанкционированный запуск telnet-сервера на нестандартных портах, чтение и модификацию критических системных файлов, таких как "/etc/passwd" и "/etc/hosts", а также загрузку и исполнение вредоносной полезной нагрузки (payload).
Для проверки состояния своего устройства пользователи могут воспользоваться простым методом. Сначала необходимо убедиться, что с момента включения маршрутизатора прошло более двух минут и функция AiCloud активна. Затем, выполнив две последовательные curl-команды, можно оценить реакцию системы. Уязвимое устройство, получив на первый запрос ожидаемый ответ "401 Unauthorized", на второй специальный запрос ответит "200 OK" и раскроет служебную информацию, например, MAC-адрес. На исправленном устройстве второй запрос вызовет ошибку "404 Not Found".
Эксперты по кибербезопасности рекомендуют комплексный подход к устранению последствий. Во-первых, из-за риска персистентности (persistence) зловредного кода следует выполнить полный сброс маршрутизатора к заводским настройкам. Во-вторых, необходимо незамедлительно установить последнюю доступную версию прошивки и активировать функцию автоматического обновления. В-третьих, рекомендуется изменить все пароли, включая учётные данные для входа в веб-интерфейс, ключи Wi-Fi и параметры VPN, так как они могли быть скомпрометированы. Для моделей, уже не получающих обновлений (EoL), лучшим решением будет сброс, смена паролей и полный отказ от использования функции AiCloud.
Хронология инцидента, опубликованная японскими экспертами, показывает, что активная эксплуатация уязвимости была зафиксирована ещё в марте 2025 года. После этого информация была передана производителю через координационные центры IPA и JPCERT/CC. ASUS подтвердила проблему в апреле, а первые исправленные прошивки стали доступны в августе 2025 года. К концу октября обновления получило большинство моделей, продававшихся на японском рынке. Официальное уведомление в японской базе данных уязвимостей JVNDB (JVNDB-2026-000010) было опубликовано только 23 января 2026 года. Этот случай в очередной раз подчёркивает важность своевременного обновления прошивок даже для таких периферийных устройств, как домашние маршрутизаторы, которые часто остаются без внимания пользователей.
Индикаторы компрометации
IPv4
- 154.81.156.10
- 154.81.156.40
- 185.43.222.221
- 194.233.92.26
- 217.15.160.247
- 217.15.164.147
- 46.19.143.11
- 93.55.229.216
- 95.214.53.106
SHA256
- 1f429e2c3be03639b683b89caab099f6a1c5047a089c017d9d8e86d0ce12e48b
- 49aee891c305e3faaf2523aee292e4c3a83fefa4dc41cef45e2a4733ff7f65a2
- 73bd3005bf6ca29177c64b5825d1132d9e478e32610750cd2ece99581f6580a9
- 85d8158ca9f6155c1cde04a17c75b8512174b1edf22b10c1f2f06c583fa18f91
