I ricercatori di GreyNoise hanno scoperto a metà marzo una backdoor in oltre 9.000 router ASUS. I dispositivi del produttore taiwanese sono stati infettati in maniera persistente, quindi la backdoor non può essere rimossa con un riavvio o l’aggiornamento del firmware, ma è necessario un reset completo.
Descrizione dell’infezione
Il tool AI di analisi del traffico di rete sviluppato da GreyNoise (SIFT) ha rilevato diversi tentativi di disattivare la funzionalità AiProtection di Trend Micro presente nei router ASUS con lo scopo di evitare la rilevazione. L’accesso iniziale ai dispositivi è avvenuto tramite forza bruta per trovare le credenziali di login e due tecniche per aggirare l’autenticazione.
Gli ignoti cybercriminali hanno quindi sfruttato la vulnerabilità CVE-2023-39780 per eseguire comandi arbitrari. In particolare hanno aggiunto una chiave pubblica SSH e attivato il demone SSH per la ricezione del traffico sulla porta TCP 53282. La configurazione della backdoor (denominata AyySSHush) è presente nella NVRAM dei router, quindi non può essere rimossa con il riavvio o l’aggiornamento del firmware.
ASUS ha rilasciato la patch per la vulnerabilità CVE-2023-39780 e le altre sfruttate per aggirare l’autenticazione, ma l’unico modo per rimuovere la backdoor è effettuare un reset completo e riconfigurare il router.
Al momento non risultano botnet che usano i router infettati come proxy residenziali o attacchi DDoS. Gli utenti devono ovviamente installare il firmware più recente. I ricercatori di GreyNoise consigliano inoltre di monitorare il traffico SSH sulla porta TCP 53282 e bloccare questi indirizzi IP: 101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237.
Ti potrebbe interessare
29 mag 2025