Asus випустила оновлення прошивки для своїх маршрутизаторів, якими закрила девʼять уразливостей безпеки, включно з критичною проблемою обходу автентифікації в сервісі AiCloud (CVE-2025-59366). Ця помилка дозволяє віддаленому зловмиснику виконувати дії на роутері без входу в обліковий запис адміністратора, ставлячи під загрозу файли на підключених носіях та конфігурацію всієї мережі.
AiCloud в маршрутизаторах Asus: хмарний доступ як точка входу для зловмисників
AiCloud — це фірмовий сервіс Asus для віддаленого хмарного доступу. Він перетворює домашній маршрутизатор на персональне хмарне сховище: користувач може працювати з USB-накопичувачами, транслювати мультимедіа, синхронізувати дані з іншими хмарними сервісами та надавати доступ до файлів за посиланнями з інтернету.
Однак усе, що відкриває роутер у глобальну мережу, одночасно збільшує площу атаки. Досвід інцидентів з IoT-пристроями (зокрема ботнет Mirai та його численні варіанти) показує: чим «розумнішим» і функціональнішим стає мережевий пристрій, тим більш жорсткі вимоги мають висуватися до його оновлення та налаштувань безпеки.
CVE-2025-59366: обхід автентифікації через Samba та AiCloud
За даними Asus, CVE-2025-59366 повʼязана з «непередбаченим побічним ефектом» у роботі Samba — компонента, який відповідає за обмін файлами за мережевими протоколами. Через цю помилку частина функцій AiCloud може виконуватися без коректної перевірки прав доступу, що відкриває можливість для повноцінного обходу автентифікації.
Path traversal та інʼєкція команд: як працює атака
Експлуатація уразливості можлива для неавторизованого віддаленого зловмисника, який комбінує дві класичні техніки: path traversal та інʼєкцію команд.
Path traversal — це маніпуляція шляхами до файлів (наприклад, через послідовності виду «../»), що дозволяє вийти за межі каталогів, передбачених веб-інтерфейсом. У результаті зловмисник може отримати доступ до конфігураційних файлів або даних, які взагалі не повинні бути видимими ззовні.
Інʼєкція команд дає змогу «підсунути» пристрою довільні системні команди для виконання — наприклад, створити нового адміністратора, змінити DNS-сервери, завантажити та запустити шкідливе ПЗ. Важливо, що для атаки на CVE-2025-59366 не потрібні жодні дії користувача: достатньо, щоб роутер був доступний з інтернету, а AiCloud був увімкнений.
Подібні сценарії активно використовуються у масових автоматизованих кампаніях, коли сканери перевіряють тисячі IP-адрес у пошуку вразливих роутерів для подальшого включення в ботнети. Більшість профільних звітів з безпеки для SOHO-роутерів наголошують, що основна маса компрометацій відбувається через уже відомі, але не виправлені користувачами уразливості.
Які уразливості закрив Asus і які прошивки вважаються безпечними
Asus повідомляє про усунення девʼяти уразливостей: CVE-2025-59365, CVE-2025-59366, CVE-2025-59368, CVE-2025-59369, CVE-2025-59370, CVE-2025-59371, CVE-2025-59372 та CVE-2025-12003. Детальні технічні описи більшості з них поки не публікуються, проте зазначається, що проблеми зачіпають як механізми віддаленого доступу, так і окремі сервіси прошивки.
Виробник не навів повного списку моделей, але вказав гілки прошивки, де всі девʼять уразливостей вже виправлені: це версії серій 3.0.0.4_386, 3.0.0.4_388 та 3.0.0.6_102. Власникам маршрутизаторів Asus слід перевірити номер своєї прошивки у веб-інтерфейсі та за наявності новішої версії негайно встановити оновлення з офіційного сайту або через вбудований механізм оновлення.
Старі та непідтримувані роутери Asus: підвищений ризик експлуатації
Для застарілих моделей, які більше не отримують патчів безпеки, Asus рекомендує мінімізувати ризики за рахунок відключення сервісів, доступних з інтернету. Насамперед це:
— віддалене адміністрування через WAN;
— переадресація портів (port forwarding);
— DDNS;
— VPN-сервер;
— DMZ та port triggering;
— FTP-сервер;
— будь-які варіанти віддаленого доступу AiCloud.
Особливу увагу слід звернути на відключення або обмеження AiCloud на моделях, потенційно вразливих до CVE-2025-59366, якщо для них не випускається оновлена прошивка. На практиці застарілий роутер без підтримки безпеки варто розглядати як тимчасове рішення, а не як довгострокову частину інфраструктури.
Кампанія WrtHug і CVE-2025-2492: що буває, коли прошивку не оновлюють
Це вже не перший серйозний інцидент, повʼязаний з AiCloud у 2025 році. Навесні Asus закрила іншу уразливість обходу автентифікації — CVE-2025-2492, яка також ґрунтувалася на обробці спеціально сформованих запитів до сервісу віддаленого доступу.
Пізніше зʼясувалося, що CVE-2025-2492 разом із низкою інших уразливостей активно використовувалася в масштабній шкідливій кампанії WrtHug, спрямованій проти тисяч роутерів Asus. Основними жертвами стали застарілі й непідтримувані моделі в Тайвані, країнах Південно-Східної Азії, Росії, Центральній Європі та США. Сценарій типовий: виробник публікує оновлення, але значна частина користувачів не встановлює його вчасно, залишаючи пристрої вразливими для масового автоматизованого сканування.
Практичні рекомендації для власників маршрутизаторів Asus та домашніх мереж
1. Регулярно оновлюйте прошивку роутера. Перевіряйте наявність нових версій не лише через веб-інтерфейс, а й на офіційному сайті Asus, особливо якщо маршрутизатор був придбаний кілька років тому. Автоматичні оновлення, якщо вони доступні, доцільно увімкнути.
2. Вимикайте всі непотрібні сервіси віддаленого доступу. Чим менше відкритих ззовні портів, тим складніше зловмиснику знайти точку входу. Це стосується не лише AiCloud, а й веб-адмінки, VPN, FTP, UPnP та інших служб.
3. Використовуйте складні унікальні паролі. Адміністративна панель роутера та облікові записи хмарних сервісів не повинні мати типові або повторювані паролі. За можливості вмикайте двофакторну автентифікацію.
4. Оцінюйте застарілі роутери як потенційно небезпечні. Якщо модель більше не отримує оновлень безпеки, найкращим рішенням буде її планова заміна на сучасний пристрій із актуальною підтримкою. Це критично для невеликих офісів і домашніх мереж, через які проходять робочі дані.
На тлі повторюваних інцидентів навколо AiCloud власникам маршрутизаторів Asus варто поставити оновлення прошивки та перегляд налаштувань віддаленого доступу у пріоритет найближчим часом. Своєчасна установка патчів, відключення зайвих сервісів і базова гігієна паролів значно знижують імовірність того, що домашній чи офісний роутер стане частиною чергової хвилі атак на інтернет речей.
