Atak na routery ASUS - sprawdź swoje urządzenie. Operacja WrtHug.

Atak na routery ASUS - sprawdź swoje urządzenie.

W przejętych urządzeniach wykorzystywano zestaw luk bezpieczeństwa: CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348, CVE-2024-12912 oraz CVE-2025-2492. Wszystkie pozostają obecne w urządzeniach od dłuższego czasu. Routery, które utraciły wsparcie, nie otrzymywały aktualizacji, a część użytkowników nigdy ich nie instalowała. Atakujący dysponowali więc stabilną przestrzenią do wdrażania własnej infrastruktury.

Według badaczy przejęte modele to między innymi:
ASUS Wireless Router 4G-AC55U
ASUS Wireless Router 4G-AC860U
ASUS Wireless Router DSL-AC68U
ASUS Wireless Router GT-AC5300
ASUS Wireless Router GT-AX11000
ASUS Wireless Router RT-AC1200HP
ASUS Wireless Router RT-AC1300GPLUS
ASUS Wireless Router RT-AC1300UHP

Liczbę zainfekowanych urządzeń określono jako liczoną „w tysiącach”. W każdym z nich zainstalowano unikalny, własnoręcznie podpisany certyfikat TLS z okresem ważności wynoszącym 100 lat. Badacze podkreślili, że tak długi okres ważności wskazuje na zaawansowane przygotowanie i skoordynowanie operacji.

https://securitybeztabu.pl/dziesiatki-tysiecy...-w-kampanii-wrthug-co-wiemy-i-jak-sie-bronic/
https://thehackernews.com/2025/11/wrthug-exploits-six-asus-wrt-flaws-to.html

Dzięki, wyróżniam, 100 punktów dla Ciebie.

@cocopoco
Ludziom bardzo trudno jest wytłumaczyć, że powinni utylizować urządzenie, jeśli nie ma już aktualizacji oprogramowania producenta czy aktualizacji alternatywnych – bo owe sprzęty zagrażają samym użytkownikom, jak widać na przykładzie również innym.

99% użytkowników dowolnych urządzeń wychodzi z założenia, że przecież jak kupili urządzenie, to jedno, raz i na zawsze, a jak działa, to po co zmieniać.

Niedawno przecież Cisco również miało podobne problemy, a sprzęt ich nie miał już aktualizacji i dotyczyło to bardzo często strefy usług rządowych.
Rekomendacja rządowa była taka, że takie urządzenie należy zutylizować, czyli zakupić nowe urządzenia, które mają aktualizacje lub aktywne subskrypcje producenta.

Już widzę oczami wyobraźni, jak dyrektor szkoły albo jakiegoś urzędu nakazuje swojej sekcji IT zakup za kilkanaście tysięcy zł nowego urządzenia, żeby sieć była szczelna i chroniona.

Są tacy, co jadą na fabrycznym firmware? LOL

Dla mnie jeżeli taka luka by została wykryta to jako szanujący się producent na swojej stronie zamieszczałbym stosowne powiadomienia, tak aby ostrzec potencjalnych użytkowników. Ale tu chyba chodzi o to aby użytkownik kupił sobie coś nowego.

Cyrk to by był gdyby publiczny adres IP miało tyle ludzi co teraz ma prywatny adres.

kaz69 napisał:

Ale tu chyba chodzi o to aby użytkownik kupił sobie coś nowego.

Tu bardziej chodzi o to, żeby nie zrazić klientów do producenta, i tych aktualnych klientów, i tych w przyszłości.
To, że ludzie kupują nowy sprzęt, nie wynika w głównej mierze z problemów natury technicznej z tym sprzętem, tylko z faktu, że ktoś ci wmawia, że ten nowy sprzęt potrzebujesz.

SP5IT napisał:

Są tacy, co jadą na fabrycznym firmware? LOL

99% użytkowników, a jeszcze bardzo często spotykane hasło to przecież nadal nieśmiertelny 123456.
Ale czemu tu się dziwić, skoro w szkołach mamy dwie albo trzy godziny religii w tygodniu i jedną godzinę informatyki.
Jaki to paradoks, że mamy czasy, gdzie dobry informatyk jest deficytowy, ale mamy w nadmiarze wszelkich teologów i opowiadaczy.

No pięknie, dosyć, że mogą oszukiwać przez router to jeszcze pewnie do ataków DDoS może posłużyć albo do scrapowania danych.
A później weź udowadniaj, że ktoś się na router włamał, jak pewnie zero logów lub ostatnie logi skasowane.

gulson napisał:

A później weź udowadniaj

Dlatego albo się inwestuje w sprzęt jak wyżej koledzy pisali - z długim wsparciem i aktywnymi subskrypcjami - albo jak sugerował kolega @SP5IT - alternatywne oprogramowanie - lub po prostu korzystamy ze sprzętu ISP - i to on za niego odpowiada

U mnie mo ISP jak masz światełko działa na TP-Linku w wkładką.
W sumie jego brocha, ale co szkodzi łatać router, ustawiać jak najlepsze szyfrowanie i skomplikowane hasła.

gulson napisał:

później weź udowadniaj, że ktoś się na router włamał, jak pewnie zero logów lub ostatnie logi skasowane.

Przecież wielokrotnie my tutaj, szczególnie w działach sieciowych, może nie tyle zalecamy, co wskazujemy kierunek, co zakupić sprzętowo, co ma sens.
Ale to się wszystko wiąże z nakładami finansowymi i to najczęściej sporymi – dobry sprzęt, z długim wsparciem producenta, niestety swoje kosztuje i to najczęściej po przeliczeniu dolarów na złotówki...
Ale w odpowiedzi od zakładającego temat słyszysz, że jak nie masz nic ciekawego do powiedzenia, to masz się nie odzywać, bo on nie pytał o sprzęt za grube tysiące, tylko coś dla ludzi.
On w internecie ogląda tylko Netflixa i YouTube, niczego nie ściąga 🤣, a w ogóle to on pyta o router, który będzie stał u jego babci mieszkającej 300 km od niego i on nie będzie tam jeździł z każdą pierdołą.
Router ma być tani, prosty, żeby go ustawić i zapomnieć, że istnieje.
Aż ciśnie się na usta klasyk "a dla kogo ten wywiad, to bez kozery powiem pincet".
Powiedz komuś, że prywatnie do domu musi wydać czy powinien wydać taką kwotę, to cię wyśmieje.
Dlatego królują wszelkiej maści tanie TP-Linki, Merkusys, Cudy i im podobne

@erbit
Dokładnie.
Zwłaszcza, że nasz system prawny jest tak genialny, szczelny, logiczny, a co najważniejsze precyzyjny - że operator odpowiada, że nie może ponosić odpowiedzialności za działanie użytkownika.
Skoro w Polsce wzmacniacze GSM są nielegalne w sensie ich instalacji bez udziału operatora - czyli mogę taki kupić, mieć, posiadać, ba, mogę go sobie nawet powiesić na swoim dachu... ale już używać nie.
Zatem, kto komu brani kupić zbugowany router...
Kupiłeś, nie używaj 🤣🤣🤣
I cyk i można się rozejść na partyjkę CS-a 😁

No właśnie - jej jak to się wszystko pięknie czyta ...ach te śmieszki z ludzi którzy nie umieją ustawić routera czy jak to tam sie nazywa. Tak ....ja nie umiem , jestem prostym chłopkiem co nie ma bladego pojęcia , dostałem router Asus RT-AC51U, podłączyłem do kablówki , cudem boskim udało mi sie zmienić hasło ze słynnego 123456 na swoje i cieszyłem sie i cieszę sie jak dziecko ze mam You Tuba .No i teraz co mam dalej zrobić? Jakie magiczne hasła mam wklepać , i magiczne programy zainstalować??? Tylko halooooooo....powoli i jak dziecku 5 letniemu tłumaczymy.....Mysle ze takich jak ja " Są tacy, co jadą na fabrycznym firmware? LOL " jest tysiące jak nie więcej ... Acha kiedys próbowałem zmienić firmware TP=Link - umarł biedak ....LOL !!!!! Uśmiałem sie jak norka.....Pozdrawiam i czekam na odpowiedzi "fachofców " .

@Tomasz0503
Zasada jest prosta i uniwersalna i dotyczy każdego aspektu naszego życia, i nikt tu się z nikogo nie śmieje czy kpi – nie znasz się, daj sprawę do rozwiązania do specjalisty.
Grzebiesz sam, miej pretensje tylko do siebie.
Tak to działa.
Tak działa świat.
Próbuj tego, z czym sobie poradzisz, bo nie ma wszystkowiedzących, ale znaj wtedy ograniczenia własnych poczynań.

Najlepszego 👌👍

KOCUREK1970 napisał:

kaz69 napisał:

Ale tu chyba chodzi o to aby użytkownik kupił sobie coś nowego.

Tu bardziej chodzi o to, żeby nie zrazić klientów do producenta, i tych aktualnych klientów, i tych w przyszłości.
To, że ludzie kupują nowy sprzęt, nie wynika w głównej mierze z problemów natury technicznej z tym sprzętem, tylko z faktu, że ktoś ci wmawia, że ten nowy sprzęt potrzebujesz.

Ziarno prawdy w tym jest, ale trzeba na cały temat spojrzeć szerzej.
W przypadku routerów mamy jeszcze jeden kluczowy aspekt: wielokrotnie zwiększającą się wydajność w krótkich odstępach czasu.
Ten sam materiał zamieszczony w Internecie mamy dostępny znacznie szybciej na swoim przykładowym komputerze czy smartfonie.
Tu jest rodzaj pogoni wymuszanej na producentach routerów przez szereg zjawisk zewnętrznych.
Ci producenci muszą "tańczyć, jak im zagrają".
Małe zainteresowanie wycofanymi produktami jest podyktowane, przede wszystkim, czymś innym niż tylko wprost chęcią sprzedania kolejnych egzemplarzy wytwarzanych przez siebie urządzeń.

Ludzie krzyczą: niech Unia Europejska zmusi producenta, żeby dbał o swoje produkty i dawał gwarancję na 5 lat. Krzyczą: zmusimy producenta, żeby robił oprogramowanie do swoich produktów przez co najmniej 5 lat...
To tutaj lekko wyjaśniam, jeżeli chodzi o sprawy gwarancyjne, to bądźcie pewni, że produkty będą znacznie droższe – gdzieś producent musi wcisnąć poniesione koszty.
Natomiast co do oprogramowania, oczywiście że będzie aktualizacja jedna na pięć lat, bo oczywiście, jak to często bywa, zabraknie doprecyzowania.
Nie będzie żadnego poprawiania oprogramowania trzy albo cztery razy rocznie i tak przez 5 lat.
Będzie jedno oprogramowanie na 5 lat i do widzenia.

Producent jest od tego, żeby zarabiać pieniądze, a nie dawać sobie robić krzywdę.
Kiedyś usłyszałem takie fajne określenie, co to jest klient.
Otóż klient to są pieniądze, które chodzą po ulicy, a należą do sprzedawcy.

Ciekawostka - mapa zainfekowanych urządzeń.
https://arstechnica.com/security/2025/11/thou...der-control-of-suspected-china-state-hackers/

Czy mogłabym prosić w celach zapoznawczych o dane/linki czy cokolwiek, co prowadzi do podobnych informacji, ale w kierunku oprogramowania alternatywnego?
Dziękuję.

Bo jakoś odnoszę wrażenie (?), że nie ma takich tematów.
Czyli co, to celowe sprawki producentów, by w swych urządzeniach zostawiać czynne/aktywne backdoory?
Bo to też napędza sprzedaż: "o nie, mój router jest zainfekowany, muszę kupić nowy router".
Czy aby nie jest tak, że te wszystkie ataki wynikają z faktu, nie tyle, że backdoor, ale że gdzieś, komuś wyciekły informacje, jak się do tego dobrać.

Cóż, skoro rządy są podłe, jeśli idzie o pieniądze, to dlaczego nie producenci, wszak tu też tylko o kasę idzie.

KOCUREK1970 napisał:

Już widzę oczami wyobraźni, jak dyrektor szkoły albo jakiegoś urzędu nakazuje swojej sekcji IT zakup za kilkanaście tysięcy zł nowego urządzenia, żeby sieć była szczelna i chroniona.

Z racji mojej styczności z powyższą tematyką, postaram się choć po części opowiedzieć jak to wygląda w praktyce.
W szkołach może nie być czegoś takiego, ale w urzędach przeprowadza się audyty bezpieczeństwa.
Jeśli po takim audycie powstanie konieczność działań zmierzających do zapewnienia właściwych zabezpieczeń, wówczas nie ma opcji dalszego funkcjonowania na dotychczasowych zasadach. Przede wszystkim: to nie musi być zakup przez daną szkołę lub urząd takiego sprzętu na własność i dalej utrzymywanie funkcjonowania całości sieci wewnętrznej we własnym zakresie. Istnieje szereg możliwości: leasing, wynajem, dzierżawa oraz tzw. kompleksowa obsługa przez firmę zewnętrzną. Ze szczególnym podkreśleniem tego ostatniego. Dyrektora interesuje dostarczenie finalnego rozwiązania, często płatnego comiesięcznie na wzór abonamentu za dostęp do Intenetu dla przeciętnego Kowalskiego i z umową na rok czy dwa lata. Argument Kolegi jest chybiony. Natomiast faktyczne problemy mamy w przypadku odbiorców indywidualnych, czyli najzwyklejszych konsumentów będących osobami fizycznymi.

Erbit napisał:

gulson napisał:

jak pewnie zero logów lub ostatnie logi skasowane.

Routery mają za mało pamięci aby rejestrować logi dłużej niż kilka minut/godzin.

Routery mają w swej budowie wewnętrznej pamięci o pojemnośi kilku mega bitów. Praktycznie w każdej takiej pamięci, prócz znajdującego się tam oprogramowania firmware, możnaby zamieszczać tysiące zapisów logów. Zabezpieczenie przed skasowaniem mogłoby być sprzętowe, poprzez dodatkowy przycisk w routerze.

@erbit
Jeżeli w momencie sprzedaży nie była znana dana luka, to jak podejść do całej sprawy?
Jaki czynnik ma przesądzać o winie po stronie producenta?

KOCUREK1970 napisał:

Ludzie krzyczą: niech Unia Europejska zmusi producenta, żeby dbał o swoje produkty i dawał gwarancję na 5 lat. Krzyczą: zmusimy producenta, żeby robił oprogramowanie do swoich produktów przez co najmniej 5 lat...
To tutaj lekko wyjaśniam, jeżeli chodzi o sprawy gwarancyjne, to bądźcie pewni, że produkty będą znacznie droższe – gdzieś producent musi wcisnąć poniesione koszty.

Według mnie rozwój sytuacji może przebiegać w odmienny sposób.
Możemy doświadczyć oferty urządzeń o bardzo dopracowanych oprogramowaniach wewnętrznych i wysoce zabezpieczonych, ale za cenę połączenia z przestarzałymi technologiami. Myślę tu, głównie, o mniejszych prędkościach przesyłu i zaawansowanych funkcjach usprawniających działanie sieci. To się może skończyć uwstecznieniem, jednak wraz z pojawianiem się na rynku znacznie szybszych i wydajniejszych routerów mających już z założenia oprogramowanie wręcz niebezpieczne dla przeciętnego użytkownika.

KOCUREK1970 napisał:

Producent jest od tego, żeby zarabiać pieniądze, a nie dawać sobie robić krzywdę.

Istnieje też taka możliwość, że dany producent posiada ubezpieczenie i z tego ubezpieczenia pokryje koszty operacji związanej z opracowaniem poprawionego oprogramowania.
Może tez to być inwestycja mająca przynieść przychód w późniejszym czasie.
To nie musi być wprost strata.

Erbit napisał:

Jeśli masz na myśli odpowiedzialność prawną za taki włam to się mylisz. Co prawda być może w cywilizowanym świecie mógłbyś wystąpić z powództwa cywilnego do takiego ISP ale realnie w Polsce widzę nikłe szanse na taki proces a co dopiero na wygraną

a to przepraszam w jaki sposób mam zabezpieczyć router dostawcy, skoro nie udostępniają mi do niego dostępu? Mogę postawić wręcz twierdzę za routerem, ale IP które dostarcza mi ISP dalej może zostać wykorzystane - poprzez ich urządzenie. To oni za nie odpowiadają, a policja POSIADA MAC ADRES urządzenia z którego popełniono przestępstwo - no chyba że przestępca ów adres zmienił - w końcu co przeszkadza korzystanie z nielegalnych rozwiązać w celu osiągnięcia nielegalnych efektów?

Mateusz_konstruktor napisał:

Argument Kolegi jest chybiony.

Nie jest chybiony, bo i tutaj obowiązuje zasada przetargowa: cena czyni cuda.

Mateusz_konstruktor napisał:

Według mnie rozwój sytuacji może przebiegać w odmienny sposób.

Rozwój uwsteczniony - ciekawa perspektywa.

Mateusz_konstruktor napisał:

Istnieje też taka możliwość, że dany producent posiada ubezpieczenie i z tego ubezpieczenia pokryje koszty operac

Producent nie jest zobowiązany nawet, żeby dać gwarancję, zatem po co miałby kupować dodatkowe, chroniące go ubezpieczenie?

Warto na YouTubie, jeżeli jeszcze jest dostępny, poszukać sobie takiego filmu "Spisek żarówkowy".
Film ten wiele spraw wyjaśnia.

OPservator napisał:

To oni za nie odpowiadają, a policja POSIADA MAC ADRES urządzenia z którego popełniono przestępstwo - no chyba że przestępca ów adres zmienił - w końcu co przeszkadza korzystanie z nielegalnych rozwiązać w celu osiągnięcia nielegalnych efektów?

Policja raczej MAC adresu nie posiada, bo adres MAC "kończy swój żywot" na najbliższym routerze. MAC adres routera który masz w domu, mają wszystkie ramki przez niego wysyłane, ale tylko między tym routerem, a routerem po stronie ISP. Więc ten adres MAC widzi tylko ISP, ale nie jest w stanie określić czy ramka pochodziła z sieci za Twoim routerem, czy bezpośrednio z Twojego, zainfekowanego routera.

Tomasz0503 napisał:

ja nie umiem , jestem prostym chłopkiem co nie ma bladego pojęcia

Moje zdanie jest takie, że jak ktoś żyje w dzisiejszym świecie technologii i twierdzi, że się na niej nie zna, to jest ignorantem, bo ta wiedza jest ogólnodostępna i za darmo, wystarczy tylko chcieć. Jeśli posługujesz się jakimś narzędziem, powinieneś wiedzieć jak ono działa.

KOCUREK1970 napisał:

Router ma być tani, prosty, żeby go ustawić i zapomnieć, że istnieje.
Aż ciśnie się na usta klasyk "a dla kogo ten wywiad, to bez kozery powiem pincet".
Powiedz komuś, że prywatnie do domu musi wydać czy powinien wydać taką kwotę, to cię wyśmieje.
Dlatego królują wszelkiej maści tanie TP-Linki, Merkusys, Cudy i im podobne

Załóżmy, ze ktoś ma w domu łącze 300/50Mb to podaj przykładowe 2 modele routerów z orientacyjną ceną jakie powinien kupić Kowalski, a które wg Ciebie są tanie i zapewniają bezpieczeństwo sieci.

Dodano po 15 [minuty]:

OPservator napisał:

a to przepraszam w jaki sposób mam zabezpieczyć router dostawcy, skoro nie udostępniają mi do niego dostępu?

tam gdzie można to włączam tryb mostka i daję swój router albo ideał, jeśli mogę wywalić router operatora i wstawić bezpośrednio swój.

BUCKS napisał:

Załóżmy, ze ktoś ma w domu łącze 300/50Mb to podaj przykładowe 2 modele routerów z orientacyjną ceną jakie powinien kupić Kowalski, a które wg Ciebie są tanie i zapewniają bezpieczeństwo sieci.

TP-Link Archer AX55 Pro ~290zł
MikroTik hAP ax³ ~500zł

tzok napisał:

TP-Link Archer AX55 Pro ~290zł
MikroTik hAP ax³ ~500zł

Jeżu iglasty, nie, no tyle to nie🤣

BUCKS napisał:

podaj przykładowe 2 modele routerów z orientacyjną ceną jakie powinien kupić Kowalski, a które wg Ciebie są tanie i zapewniają bezpieczeństwo sieci.

Routery FritzBox - nie są tanie cenowo, ale to, co zapewniają i oferują, cenowo w mojej ocenie jest ok.
Średni okres wsparcia firmware Fritzów to 10 lat i 5 lat gwarancji sprzętowej samego producenta - i to bez żadnej łaski.
Mają np. taką politykę, że z racji ich wewnętrznych procedur żaden uszkodzony Fritz nie jest naprawiany i idzie to z miejsca utylizacji. Klient dostaje fabrycznie zapakowaną NOWĄ sztukę.
Nie słyszałem, by routery Fritza miały jakiekolwiek podatności CVE czy podobne problemy.
Sam mam prywatnie 3 Fritze (Fritz 3490, Fritz 7530 i Fritz 7590) - ale i tu niestety, z moimi potrzebami sieciowymi doszedłem do ściany.
Teraz u mnie pracuje OPNsense i już tak raczej zostanie.