A fine maggio, i ricercatori di GreyNoise hanno pubblicato i dettagli di una backdoor, denominata AyySSHush, presente in oltre 9.000 router di ASUS. per l’istallazione è stata sfruttata una vulnerabilità scoperta a settembre 2023. Il produttore taiwanese ha spiegato come proteggere i dispositivi e come rimuovere la backdoor.
Comunicato ufficiale di ASUS
Dopo aver ottenuto l’accesso ai router, ignoti cybercriminali hanno sfruttato la vulnerabilità CVE-2023-39780 per aggiungere una chiave pubblica SSH e attivare il demone SSH per la ricezione del traffico sulla porta TCP 53282. La configurazione della backdoor è stata caricata nella NVRAM, quindi non può essere rimossa con il riavvio o l’aggiornamento del firmware, ma è necessario un reset completo.
ASUS ha rilasciato la patch per la vulnerabilità CVE-2023-39780 nel 2023. Gli utenti possono quindi prevenire l’infezione installando il firmware più recente e usando una password di amministratore complessa (almeno dieci caratteri con lettere maiuscole e minuscole, numeri e simboli).
Nel caso di router già compromessi, gli utenti devono effettuare un ripristino delle impostazioni di fabbrica, oltre a seguire i suggerimenti precedenti (aggiornamento firmware e password complessa).
Se il router non è più supportato, in quanto obsoleto, gli utenti devono disattivare tutte le funzionalità di accesso remoto come SSH, DDNS, AiCloud o Web Access da WAN.
ASUS fornisce infine alcuni utili suggerimenti per monitorare eventuali attività sospette. Gli utenti devono verificare che il protocollo SSH (in particolare la porta TCP 53282) non sia accessibile dall’esterno e controllare il registro di sistema per escludere l’eventuale presenza di ripetuti errori di accesso falliti oppure di chiavi SSH sconosciute.
Ti potrebbe interessare
4 giu 2025