Компания Asus выпустила несколько заявлений относительно широко освещаемой ботнет-атаки, которая на сегодняшний день заразила более 9000 маршрутизаторов. Согласно нашему предыдущему сообщению, ботнет «AyySSHush» заразил свои хосты с помощью комбинации атак методом перебора и обхода аутентификации, а также скрыл свой бэкдор в энергонезависимой памяти, пытаясь таким образом укрыться от обновлений и перезагрузок прошивки.
В официальном заявлении по поводу уязвимости компания Asus сообщила Tom's Hardware, что уязвимости можно избежать для тех, кто еще не заражен, и исправить для тех маршрутизаторов, которые были скомпрометированы. Враждебные агенты используют известную уязвимость ввода команд CVE-2023-39780, чтобы включить доступ SSH на пользовательском порту (TCP/53282) и вставить контролируемый злоумышленником открытый ключ для удаленного доступа. Эта уязвимость была исправлена в последнем обновлении прошивки Asus, поэтому Asus рекомендует всем пользователям своих маршрутизаторов обновить прошивку.
После этого Asus рекомендует выполнить сброс к заводским настройкам, а затем добавить надежный пароль администратора. Для тех пользователей, чьи маршрутизаторы достигли конца срока поддержки, или тех, кто достаточно хорошо разбирается в технологиях, чтобы открыть настройки своего маршрутизатора и не хочет выполнять сброс к заводским настройкам, Asus рекомендует «отключить все функции удаленного доступа, такие как SSH, DDNS, AiCloud или Web Access из WAN, и убедиться, что SSH (особенно TCP-порт 53282) не открыт для доступа из Интернета».
Ботнет AyySSHush был впервые обнаружен компанией GreyNoise в марте, а в мае ее выводы были обнародованы с помощью предупреждений, выданных ее проприетарной технологией мониторинга искусственного интеллекта Sift. GreyNoise классифицирует злоумышленников, ответственных за ботнет, как «хорошо обеспеченных и высококвалифицированных противников», хотя и не выдвигает никаких обвинений в отношении того, кто эти злоумышленники. Поиск Censys по затронутым маршрутизаторам, число которых на момент написания статьи превышает 9500, можно найти здесь. На сегодняшний день активность ботнета минимальна: за три месяца было зарегистрировано только 30 связанных запросов.
В дополнительном комментарии, специально направленном Tom's Hardware, Asus добавляет, что отправила push-уведомления соответствующим пользователям, предупреждая их об обновлении прошивки, как только эксплойт стал широко известен. Пользователи также имеют в своем распоряжении ресурсы, включая страницу Asus с рекомендациями по безопасности продуктов и обновленную статью в базе знаний, посвященную конкретно этому эксплойту. Asus также утверждает, что работала над обновлением прошивки на моделях, включая маршрутизатор RT-AX55, задолго до появления отчета GreyNoise, чтобы защитить их от этой известной уязвимости. Это важная деталь от компании, поскольку отчет CVE-2023-39780 показывает, что Asus была осведомлена об уязвимости до появления последнего отчета GreyNoise.
Все обеспокоенные пользователи маршрутизаторов Asus должны убедиться, что их SSH не подвергается воздействию Интернета, и им рекомендуется проверить журнал своего маршрутизатора на наличие повторяющихся неудачных попыток входа или незнакомых ключей SSH, указывающих на прошлые атаки методом перебора. Оставление маршрутизаторов открытыми для доступа к WAN и открытому Интернету — это рецепт катастрофы, и почти все маршрутизаторы, зараженные ботнетом, вероятно, работали в крайне уязвимых, небезопасных условиях, созданных конечными пользователями.
Тем не менее, как и во всех вопросах веб-безопасности, лучше перестраховаться, чем сожалеть, и убедиться, что маршрутизаторы и другие устройства, подключенные к Интернету, работают на современной прошивке.
Оригинал
Уникальность
