Potrivit experților GreyNoise, mii de routere ASUS au fost sparte și atașate unui botnet, utilizatorul fiind inconștient de ceea ce se întâmplă în fundal.

Potrivit cercetătorilor, peste 9.000 routere ASUS ar putea fi afectate. Problema a fost descoperită în Martie 202, motiv pentru care ASUS a pregătit actualizări de firmware. Interesant este faptul că infractorii cibernetici au accesat și instalat un backdoor fără să folosească malware, ci mai degrabă au exploatat vulnerabilități cunoscute, și l-au făcut rezident, astfel încât acesta să nu poată fi eliminată prin repornirea routerului sau prin actualizarea firmware-ului. Din păcate, cercetătorii nu au specificat exact ce modele au fost afectate, dar este sigur că ASUS RT-AX55 este prin ele, deoarece descrierea CVE de mai jos se referă la ea. Cu toate acestea, este indicat a verifica routerul și pașii detaliați la sfârșitul acestui articol, pentru alte modele ASUS.

În esență, atacatorii au început procesul încercând să descifreze datele de autentificare ale routerului printr-un atac de forță brută, și au utilizat unele tehnici de ocolire a autentificării care nu sunt documentate oficial, sau mai exact, nu au o intrare CVE publicată. Odată ce au primit acces, au exploatat o vulnerabilitate descrisă sub CVE-2023-39780, care permite injectarea de cod, și au reușit să execute comenzi de modificare a configurației.

Atacatorii au utilizat serviciile oficiale ale routerului Asus pentru a obține acces permanent la router. Aceștia au permis conexiuni SSH printr-un port non-standard, în acest caz portul TCP 53282, și apoi și-au instalat propria cheie SSH publică, permițând controlul administrativ de la distanță. Deoarece aceste setări au fost stocate în NVRAM, o memorie permanetă, o repornirea sistemului nu elimină gaura de securitate, nici a actualizare a firmware-ului nu îl poate elimina. În acest proces, atacatorii au dezactivat și funcția de logare, și funcția de securitate AiProtection pentru a rămâne nedetectați.

Atacul pare să fi fost atent planificat și conceput pentru a asigura accesul pe termen lung la routerele piratate. În total, peste 9 000 routere au fost sparte, după cum arată datele Censys, în timp ce datele GreyNoise arată care dispozitive sunt vizate în mod activ și utilizate de atacatori pentru diverse sarcini.

Echipa ASUS a creat actualizări de firmware critice pentru a închide "breșa" descrisă în CVE-2023-39870, precum și vulnerabilitățile nedocumentate care permiteau atacatorilor să acceseze cu succes interfața routerului în cauză.

Pentru a se asigura că proprietarii de routere ASUS sunt în siguranță, există câțiva pași pe care aceștia ar trebui să îi urmeze. În primul rând, aceștia ar trebui să verifice dacă există un backdoor activ pe router, și anume dacă portul TCP 53282 este accesibil pentru conexiunile SSH, și să verifice cheile SSH pentru cazuri suspecte și apoi să blocheze adresele IP rău intenționate cunoscute asociate cu această campanie.

Dacă există vreo suspiciune că dispozitivul a fost compromis, singura modalitate de a elimina breșa este resetarea dispozitivului la setările din fabrică, ceea ce va necesita reconfigurarea routerului. Desigur, instalarea celui mai recent firmware ar fi o prioritate imediată. Cea mai bună metodă de actualizare este de a descărca fișierul în prealabil, resetarea routerului la setări de fabrică, apoi să efectuați actualizarea, să reconfigurați routerul (folosind credențiale strict noi) și să o reconectați ulterior la internet.