一場名為「WrtHug 行動」的全球性網路攻擊活動，已成功劫持數千台華碩WRT系列路由器。這場行動主要針對已停止支援或韌體未及時更新的過時設備，凸顯了終端用戶設備生命週期管理不足所帶來的巨大安全風險。根據研究人員的調查，儘管這是一場全球性的攻擊，其地理分佈卻有顯著的集中性，大多數被入侵設備的IP位址位於台灣，而其他受影響的地區則包括東南亞、俄羅斯、中歐和美國。值得注意的是，研究人員並未在中國境內發現受感染的設備，這或許暗示了攻擊者的來源，但缺乏高信賴度的歸屬證據。

數千台華碩WRT路由器（大多是已停產或過時的設備）在一場名為「WrtHug 行動」的全球攻擊活動中遭到劫持，該行動利用了六個漏洞。大多數被入侵設備的IP位址位於台灣，而其他設備則分佈在東南亞、俄羅斯、中歐和美國。

攻擊者主要針對華碩WRT路由器的AC系列和AX系列設備中的命令注入缺陷和其他已公開的已知漏洞進行入侵。安全評估機構SecurityScorecard的STRIKE研究人員指出，「WrtHug行動」極可能利用了以下安全漏洞來達成其入侵目的：

根據入侵指標，研究人員確定了以下華碩設備是「WrtHug行動」的目標。攻擊始於利用華碩WRT路由器（主要是AC系列和AX系列設備）中的命令注入缺陷和其他已知漏洞。STRIKE研究人員表示，WrtHug攻擊活動可能會利用以下安全漏洞：

1. CVE-2023-41345/46/47/48 –透過令牌模組注入作業系統指令
2. CVE-2023-39780 –重大指令注入漏洞（也曾用於 AyySSHush 攻擊活動）
3. (3) CVE-2024-12912 –任意指令執行
4. (4) CVE-2025-2492 –身分驗證控制不當，可能導致未經授權的功能執行

在這些漏洞中，CVE-2025-2492因其嚴重程度被評為「關鍵」，尤其在啟用了華碩AiCloud功能的路由器上，可以透過精心設計的請求觸發，導致未經授權的功能執行。研究報告推測，攻擊者很可能就是利用華碩AiCloud服務作為切入點，部署了這次全球性入侵集。

這次攻擊活動的一項重要指標是，在99%的受感染設備中，AiCloud服務中出現了自簽名TLS證書，取代了華碩產生的標準證書。新證書之所以引人注目，是因為其有效期長達100年，而原證書的有效期僅為10年。

STRIKE研究人員正是利用這個獨特的「有效期100年」的惡意自簽名TLS證書作為入侵指標，識別出全球約5萬個獨立IP位址受到了感染。這種手法顯示出攻擊者企圖在設備上建立長期的、隱蔽的控制權。被劫持的路由器可能會被用作「操作中繼箱（ORB）」網路中的隱身節點，為駭客組織充當代理，隱藏其命令與控制（C2）基礎設施。

華碩已發布安全更新，修復了 WrtHug 攻擊中利用的所有漏洞，因此路由器用戶應將韌體升級到最新可用版本。如果設備已停止支持，建議使用者更換設備或至少停用遠端存取功能。

鑑於此類攻擊主要鎖定韌體過時的設備，對所有華碩路由器的用戶而言，首要且最關鍵的防禦措施是立即將設備韌體升級到最新的安全版本。對於那些已經停止官方支援的終端設備（End-of-Life, EOL），用戶應考慮替換為仍在安全支援週期內的新設備。若無法立即更換，則應至少採取預防性措施，例如禁用所有遠端存取功能，以最大程度地降低設備被遠端利用的風險。此類大規模的路由器劫持行動再次警示我們，對於所有連網設備，特別是網路邊緣的基礎設施，持續的軟體更新與安全維護是網路安全防護中不可或缺的一環。

資料來源：https://www.bleepingcomputer.com/news/security/new-wrthug-campaign-hijacks-thousands-of-end-of-life-asus-routers/