Wielkie zagrożenie dla użytkowników routerów ASUS!

Jeśli posiadasz router marki ASUS, uważaj! Firma GreyNoise, specjalizująca się w cyberbezpieczeństwie, ujawniła, że ponad 9000 routerów tej marki zostało zainfekowanych przez groźny botnet o nazwie "AyySSHush".

Czy Twój model znajduje się na liście?

Na celowniku cyberprzestępców znalazły się modele takie jak RT-AC3100, RT-AC3200 i RT-AX55. Hakerzy wykorzystali popularne techniki, takie jak ataki brute-force oraz znane luki w zabezpieczeniach.

Jak doszło do ataku?

Zastosowana była groźna luka "command injection", znana jako CVE-2023-39780. Umożliwiała ona dodanie własnego klucza publicznego SSH oraz uruchomienie demona SSH nasłuchującego na nietypowym porcie TCP 53282. Dzięki temu atakujący mogą zyskać dostęp do urządzenia, nawet po jego ponownym uruchomieniu czy aktualizacjach oprogramowania.

Dlaczego to jest niebezpieczne?

Klucz jest dodawany za pomocą oficjalnych funkcji routera, co oznacza, że zmiana konfiguracji pozostaje nawet po aktualizacji. Jeśli Twój router został wcześniej zainfekowany, aktualizacja oprogramowania układowego nie usunie ukrytej furtki SSH.

Jakie są intencje atakujących?

Cel operacji botnetu AyySSHush pozostaje nieznany. Nie zaobserwowano ataków DDoS ani innych działań związanych z przekierowywaniem złośliwego ruchu, lecz atakujący potrafią pobierać i uruchamiać złośliwe skrypty, które mogą kierować ruch sieciowy na przejęte urządzenia.

Bądź czujny!

Obecnie jesteśmy świadkami cichej kampanii budowania sieci routerów z backdoorami. To może być zapowiedź poważniejszego botnetu o nieznanym celu. Jeśli używasz jednego z wymienionych modeli, szybko sprawdź, czy nie jesteś narażony na to zagrożenie!