Compania a lansat pași detaliate pentru a elimina spate persistente de router
În context: ASUS a adoptat o abordare proactivă în a răspunde la un atac recent de botnet, nu numai că a plasat vulnerabilitatea, ci și pentru a oferi îndrumări pas cu pas pentru a ajuta utilizatorii să elimine complet fundalurile persistente. Compania a recunoscut că actualizările firmware-ului sunt insuficiente și recomandă resetările din fabrică și practicile puternice de parole, demonstrând un nivel de transparență rar observat în incidentele de securitate a routerului la scară largă.
Îndrumările companiei urmează descoperirea unui atac botnet răspândit care a compromis peste 9.000 de routere Asus la nivel global. Cunoscută sub numele de BotNet „Ayysshush”, campania exploatează o vulnerabilitate dezvăluită anterior pentru a instala o spate persistentă, permițând atacatorilor să păstreze accesul la distanță chiar și după ce actualizările firmware -ului sau repornirea dispozitivului.
Atacul folosește un defect de injecție de comandă, urmărit ca CVE-2023-39780, care a fost dezvăluit public în 2023. Actorii amenințători folosesc această vulnerabilitate pentru a permite accesul SSH pe un port non-standard (TCP 53282) și să insereze propria cheie SSH publică în configurația routerului. Deoarece această modificare este stocată în memorie non-volatilă, supraviețuiește actualizărilor și repornirilor firmware-ului. De asemenea, atacatorii dezactivează funcțiile de exploatare și securitate pentru a sustrage detectarea, permițând un control furios pe termen lung asupra routerelor compromise.
Firma de cibersecuritate Greynoise a descoperit botnet-ul folosind platforma sa de monitorizare alimentat de AI. Firma a descris actorii amenințării drept sofisticate și bine resurse, deși nu s-a făcut nicio atribuție. În ciuda scării compromisului, activitatea botnetului a fost până acum limitată, cu doar câteva zeci de solicitări legate de câteva luni.
ASUS a subliniat că, deși vulnerabilitatea a fost plasată în cele mai recente actualizări ale firmware -ului, actualizarea singură nu este suficientă pentru a elimina din spate dacă routerul este deja compromis.
Compania recomandă un proces în trei etape: în primul rând, actualizați firmware-ul routerului la cea mai recentă versiune; În al doilea rând, efectuați o resetare din fabrică pentru a elimina orice configurații neautorizate; și în al treilea rând, setați o parolă puternică de administrator. ASUS recomandă utilizarea parolelor care au cel puțin 10 caractere și includ un amestec de litere mari și minuscule, numere și simboluri.
Pentru routerele care au ajuns la sfârșitul vieții și nu mai primesc actualizări ale firmware-ului, ASUS sugerează instalarea celei mai recente versiuni disponibile, dezactivarea tuturor funcțiilor de acces la distanță, cum ar fi SSH, DDNS, AICLOUD și WAN-Side Access și asigurarea faptului că portul 53282 nu este expus la internet. Utilizatorii sunt, de asemenea, încurajați să monitorizeze jurnalele de router pentru defecțiuni de conectare repetate sau chei SSH necunoscute, care ar putea semnala un atac anterior de forță brută.
În special, Asus a declarat că a dezvoltat deja actualizări de firmware pentru vulnerabilitate-cu mult înainte de dezvăluirea publică a Greynoise-inclusiv pentru modele precum RT-AX55. De asemenea, compania a împins notificări către utilizatorii afectați, îndemnându -i să se actualizeze prompt după ce exploatarea a devenit cunoscută pe scară largă.
În plus, ASUS a publicat îndrumări actualizate pe pagina sa de consultanță pentru securitatea produselor și și -a extins resursele de bază de cunoștințe pentru a ajuta utilizatorii să atenueze riscurile în curs.
