A GreyNoise biztonságtechnikai szakemberei szerint több ezer ASUS routert szerveztek botnetbe a kiberbűnözők, akik sikeresen betörtek az adott router rendszerébe, majd rendkívül alapos felkészültségről tettek tanúbizonyságot, ugyanis nagyon ügyesen oldották meg azt, hogy a routerek botnetbe szerveződjenek, folyamatosan hozzá lehessen férni az eszközökhöz, és a felhasználó mit sem sejtsen arról, mi történik a háttérben.

A kutatók adatai szerint 9000-nél is több ASUS routert érinthet a támadás, amit még 2025 márciusában fedeztek fel, és amelynek kapcsán az ASUS csapata firmware frissítéseket készített a sikeres támadást lehetővé tevő hibák megszüntetéséért. Érdekesség, hogy a kiberbűnözők úgy nyitottak hátsó ajtót a routereken, hogy ehhez nem alkalmaztak malware-eket, csak az általuk ismert biztonsági réseket vették igénybe, és úgy alkották meg a hátsó ajtót, hogy azt egy esetleges router-újraindítás vagy firmware-frissítés se zárja be. Azt sajnos nem részletezték a kutatók, pontosan mely típusok érintettek, de az biztos, hogy az ASUS RT-AX55 köztük lehet, hiszen a lentebb szereplő CVE bejegyzés ennek a terméknek a sebezhetőségére utal. Ennek ellenére – a biztonság kedvéért – a többi ASUS router típusnál is érdemes elvégezni az írásunk végén részletezett lépéseket.

A támadók lényegében azzal kezdték a folyamatot, hogy nyers erő alapú támadás keretén belül megpróbálták megfejteni az adott router bejelentkezési adatait, valamint bevetettek olyan praktikákat is, amelyek lehetővé teszik a felhasználó-azonosítás megkerülését, és amelyek hivatalosan nincsenek is dokumentálva, pontosabban nem kapcsolódik hozzájuk publikus CVE bejegyzés. Ahogy bejutottak az adott routerre, a CVE-2023-39780-as bejegyzés alatt futó sebezhetőséget kiaknázva, ami kódinjektálást tesz lehetővé, rendszerszintű módosításokat végrehajtó parancsokat tudtak kiadni, ennek keretén belül módosították a router konfigurációs beállításait, végig gyári funkciókat és beállítási lehetőségeket használva.

A támadók hivatalos Asus router szolgáltatásokat vettek igénybe ahhoz, hogy folyamatos hozzáféréshez jussanak az adott router esetében. Engedélyezték az SSH kapcsolatokat egy nem-szabványos porton keresztül, ez ebben az esetben az 53282-es TCP port volt, majd telepítették saját publikus SSH kulcsukat, ezzel lehetőséget biztosítva a távoli adminisztratív irányítás megvalósítására. Mivel ezek a beállítások a router NVRAM-jában foglaltak helyet, ami egy nem-illékony típusú memória, így a rendszer újraindítása sem nullázta ki a hátsó ajtót, sőt, még egy firmware-frissítés sem tudja bezárni. A támadók a folyamat során letiltották a rendszer naplózási funkcióját, valamint az AiProtection névre keresztelt biztonsági funkciót is annak érdekében, hogy ténykedésük rejtve maradhasson a felhasználók szemei előtt.

A támadást a jelek szerint gondosan megtervezték és mindent úgy alakítottak ki, hogy hosszabb távon is biztosan hozzá lehessen férni a feltört routerekhez. Összesen 9000-nél is több routert sikerült feltörniük és hátsó ajtóval ellátniuk, erre a Censys adatai mutattak rá, amelyekből látszik, mely routerek nyitottak az Internet felé, míg a GreyNoise adatai arra világítanak rá, mely eszközök azok, amelyeket aktívan célba vettek és használnak különböző feladatokra a támadók. A GreyNoise ehhez a „Sift” névre keresztelt AI alapú elemző eszközt veti be, ami azt is elárulta, az érintett routerek esetében mindössze 30 gyanús kérés érkezett az elmúlt három hónap folyamán, miközben több ezer router vált a támadók áldozatául.

Az ASUS csapata természetesen kiadta a szükséges firmware-frissítéseket a potenciálisan érintett routerekhez, ezzel bezárva a CVE-2023-39870-es bejegyzés alatt taglalt „kiskaput”, valamint azokat a nem dokumentált sebezhetőségeket is, amelyek lehetőséget biztosítottak a támadóknak, hogy sikeresen belépjenek az adott router webes felhasználói kezelőfelületére.

Annak érdekében, hogy az ASUS routerek tulajdonosai biztonságban lehessenek, el kell végezniük néhány lépést. Először is ellenőrizniük kell, van-e aktív hátsó ajtó a routeren, azaz hozzáférhető-e az 53282-es TCP port SSH kapcsolat céljára, valamint ellenőrizniük kell az SSH kulcsokat is, vannak-e közöttük gyanús példányok, majd érdemes blokkolniuk az ismert kártékony IP címeket, amelyek ehhez a kampányhoz kapcsolódnak.

Amennyiben gyanú merül fel azzal kapcsolatban, hogy az eszközre bejutottak, a nyitott hátsó ajtót csak úgy lehet eltávolítani, ha az eszközt gyári alaphelyzetbe állítják, ami miatt sajnos újra kell konfigurálni a routert. És természetesen a rendelkezésre álló legfrissebb firmware telepítését sem érdemes elfelejteni. Gyanú esetén érdemes lehet a fájlt előre letölteni, gyári alaphelyzetbe állítani a routert, majd internetkapcsolat nélkül elvégezni a frissítést és utána újra elvégezni a konfigurálást, akár egy korábban mentett konfigurációs fájl betöltésével.