Peste 9.000 de routere ASUS piratate cu un backdoor SSH
Sursă: https://www.bleepingcomputer.com
Peste 9.000 de routere ASUS au fost compromise de un botnet denumit AyySSHush, ce a fost observat vizând routere SOHO de la Cisco, D-Link și Linksys.
Specialiștii au semnalat că atacurile combină atacuri de tip brute-force asupra credențialelor de autentificare, ocolirea autentificării și exploatarea vulnerabilităților mai vechi pentru a compromite routerele ASUS, inclusiv modelele RT-AC3100, RT-AC3200 și RT-AX55.
În mod specific, atacatorii exploatează o vulnerabilitate veche de injectare a comenzilor identificată ca CVE-2023-39780 pentru a adăuga propria cheie publică SSH și pentru a permite daemonului SSH să asculte pe portul TCP non-standard 53282.
Aceste modificări permit atacatorilor să păstreze accesul backdoor la dispozitv chiar și între reporniri și actualizări de firmware.
Deoarece această cheie este adăugată cu ajutorul funcțiilor oficiale ASUS, această modificare de configurare persistă în timpul actualizărilor de firmware. Dacă ați fost exploatat anterior, actualizarea firmware-ului NU va elimina backdoor-ul SSH, au semnalat specialiștii.
În campania observată, atacatorii au vizat routere SOHO, VPN-uri SSL, DVR-uri și controlere BMC de la D-Link, Linksys, QNAP și Araknis Networks.
Scopul operațional exact al AyySSHush rămâne neclar, deoarece nu există semne de atacuri de tip distributed denial of service (DDoS) sau de utilizare a dispozitivelor pentru a redirecționa traficul rău intenționat prin routerele ASUS.
Cu toate acestea, în cazul breșelor asupra routerelor, un script malițios a fost descărcat și executat pentru a redirecționa traficul de rețea de la sistemul compromis către dispozitive terțe controlate de atacator.
În prezent, se pare că această campanie dezvoltă o rețea de routere retrocedate pentru a crea bazele unui viitor botnet.
ASUS a lansat actualizări de securitate care abordează CVE-2023-39780 pentru routerele afectate, deși momentul exact al disponibilității variază în funcție de model.
Utilizatorilor li se recomandă să își actualizeze firmware-ul cât mai curând posibil și să caute fișiere suspecte și adăugarea cheii SSH a atacatorului pe fișierul authorized_keys.
Dacă se sesizează compromiterea, se recomandă o resetare din fabrică pentru a elimina orice îndoială cu privire la router și apoi reconfigurați-l de la zero folosind o parolă puternică.
Sursă: https://www.bleepingcomputer.com/news/security/botnet-hacks-9-000-plus-asus-routers-to-add-persistent-ssh-backdoor/
