ASUS routerek kihasználása
A GreyNoise jelentése szerint egy kifinomult, rejtett kampány során több mint 9 000 ASUS routert kompromittáltak világszerte. A támadók a CVE-2023-39780 sebezhetőséget és két, még nem dokumentált hitelesítési megkerülési technikát kihasználva szereztek jogosulatlan hozzáférést az eszközökhöz.
A támadás során az SSH hozzáférést engedélyezték egy nem szokványos TCP/53282 porton, és a támadók saját nyilvános SSH kulcsát adták hozzá az eszközök konfigurációjához. Ez a konfiguráció a routerek nem volatilis memóriájában (NVRAM) került tárolásra, így a firmware frissítések és az újraindítások sem távolítják el azt. A támadók továbbá letiltották a naplózást és a Trend Micro által biztosított AiProtection biztonsági funkciókat, hogy elkerüljék a felfedezést.
A kampányt a GreyNoise saját, mesterséges intelligenciával működő Sift nevű hálózati forgalomelemző eszköze fedezte fel, amely mindössze három gyanús HTTP POST kérést észlelt ASUS routerek felé. Ezek az alacsony számú, de célzott támadások arra utalnak, hogy a támadók magas szintű szakértelemmel rendelkeznek, és hosszú távú hozzáférést kívánnak fenntartani az érintett eszközökhöz.
A támadás során alkalmazott technikák – a hivatalos ASUS konfigurációs beállítások kihasználását és a naplózás letiltását – azt sugallják, hogy a támadók célja egy rejtett, elosztott botnet infrastruktúra kiépítése lehet, amelyet későbbi rosszindulatú tevékenységekhez használhatnak fel.
A GreyNoise ajánlásai szerint az érintett felhasználóknak ellenőrizniük kell routereik SSH hozzáférését, különösen a TCP/53282 porton, és át kell vizsgálniuk az authorized_keys fájlt illetéktelen bejegyzések után. Ha kompromittálás gyanúja merül fel, javasolt a teljes gyári visszaállítás és az eszköz manuális újrakonfigurálása.
