Routery ASUS terčem velmi odolného backdooru

Společnost GreyNoise identifikovala hackerské útoky na síťové produkty společnosti Asus. Její routery mohou být napadeny nejen na základě tradičních hackerských metod, jako jsou útoky hrubou silou, ale také na základě bezpečnostní chyby z roku 2023, která umožňovala tzv. command-injection útok. Kauza byla nazvána AyySSHush a pokud se útočníkům povede dostat se do routeru, nechávají tu backddor (tzv. zadní vrátka), který umožňuje vzdálený přístup k routeru. Toto přežije aktualizaci firmwaru, restart do továrního nastavení a neodhalí ho ani většina skenovacího softwaru. Napadené routery se zatím k ničemu nevyužívají, je zde ale riziko, že se připravují na budoucí akce. GreyNoise zatím identifikoval přes 9000 takto napadených routerů.

 

Backdoor přenastavuje AiProtection a aktivuje SSD na TCP portu 53282, což je jedna z možností, jak napadený router rozpoznat. Veřejný klíč je pak ukryt v non-volatilní paměti. Útočníci také vypínají logování událostí, aby bylo komplikovanější hledání jejich stop. Pokud jde o chybu, tak ta má označení CVE-2023-39780 a byla již v nových verzích firmwarů k routerům Asus opravena. Pokud tedy máte router této značky, raději se podívejte, zda se pro něj nenabízí nový firmware.

 

Zdroj: arstechnica.com, securityweek.com, ilustrační foto (HS You, CC BY-ND 2.0, přes Flickr)