Тысячи маршрутизаторов Asus были скомпрометированы из-за недавно обнаруженной бот-сети под названием «AyySSHush». Скрытая атака была обнаружена в марте 2025 года компанией GreyNoise, занимающейся кибербезопасностью. Сообщается, что она использует аутентификацию и функции маршрутизатора для поддержания долгосрочного доступа.
Примечательно, что бэкдор не использует никакое вредоносное ПО, и несанкционированный доступ не может быть удален с помощью обновлений прошивки. Атака начинается с того, что злоумышленники нацеливаются на маршрутизаторы с помощью попыток входа с помощью метода перебора и используют методы обхода аутентификации, некоторые из которых остаются недокументированными без присвоенных CVE.
Попав внутрь, они нацеливаются на CVE-2023-39780, известную уязвимость ввода команд, и используют ее для выполнения произвольных команд на системном уровне. Эта техника позволяет злоумышленникам манипулировать конфигурацией маршрутизатора с помощью легитимных функций в прошивке. Злоумышленники используют официальные функции маршрутизаторов Asus для получения постоянного доступа.
Они также получают возможность включить SSH на нестандартном порту (TCP 53282) и установить свой собственный открытый ключ SSH, что позволяет осуществлять удаленное административное управление. Поскольку бэкдор записывается в энергонезависимую память маршрутизатора (NVRAM), он может сохраняться как после обновления прошивки, так и после перезагрузки устройства. Кроме того, отключив системное ведение журналов и функции безопасности AiProtection маршрутизатора, злоумышленники гарантируют, что их невозможно обнаружить.
Согласно отчету GreyNoise, методы, используемые злоумышленниками, свидетельствуют о тщательном планировании для получения долгосрочного доступа и демонстрируют глубокое знание архитектуры системы. Согласно данным Censys, платформы, которая отслеживает и картографирует устройства, подключенные к Интернету по всему миру, было подтверждено, что более 9000 маршрутизаторов Asus были скомпрометированы. Censys идентифицирует устройства, подключенные к Интернету, а GreyNoise определяет, какие из этих устройств являются активной мишенью или подвергаются эксплуатации. Это дает более четкое представление как о масштабах, так и о скрытности проводимой кампании.
Обнаружение уязвимости было сделано с помощью аналитического инструмента GreyNoise на базе искусственного интеллекта под названием «Sift». Он выделил для более глубокой проверки всего три HTTP POST-запроса, нацеленных на конечные точки маршрутизаторов Asus, которые затем были проанализированы с помощью эмулированных профилей Asus, работающих на заводской прошивке.
Удивительно, но Sift обнаружил только 30 вредоносных запросов за три месяца, несмотря на то, что были скомпрометированы тысячи устройств. Asus выпустила новое обновление прошивки, устраняющее уязвимость CVE-2023-39780, а также первоначальные недокументированные методы обхода входа в систему. Однако это обновление является скорее профилактической мерой.
На любом маршрутизаторе, который был взломан ранее, обновление прошивки не удалит бэкдор SSH. Это связано с тем, что вредоносные изменения конфигурации хранятся в энергонезависимой памяти и не перезаписываются при стандартном обновлении прошивки. Чтобы обеспечить полную безопасность маршрутизаторов, пользователям рекомендуется предпринять дополнительные ручные действия, в том числе проверить наличие активного доступа SSH на TCP-порту 53282, проверить файл authorized_keys на наличие незнакомых записей и заблокировать известные вредоносные IP-адреса, которые могут быть связаны с этой кампанией.
Если есть подозрение, что устройство скомпрометировано, лучше всего выполнить полный сброс к заводским настройкам, а затем заново настроить маршрутизатор с нуля.
Оригинал
Уникальность
