Az ASUS háza tájáról eléggé kellemetlen hír érkezett néhány napja, ami a cég egyes routereit érintette: a biztonságtechnikai kutatók vizsgálata szerint 9000-nél is több ASUS routert szerveztek bothálózatba a felkészült támadók, akik egy sebezhetőség kihasználásával rejtett hátsó ajtót nyitottak a routereken.
A bejutást nyers erőn (brute force-on) alapuló támadással oldották meg, amelynek során valószínűleg előre összeállított szótárakat használva próbálgatták végig a szokásos felhasználónév-jelszó párosításokat, majd ha ez sikerült, akkor a CVE-2023-39780-as bejegyzés alatt futó sebezhetőséget felhasználva engedélyezték az SSH hozzáférést egy egyedi porton keresztül, ami rendszerint az 53282-es TCP port volt. Ahogy ezzel megvoltak, egy publikus kulcsot is feltöltöttek, ami a támadó számára lehetővé tette, hogy távolról is vezérelje az adott routert. A támadást úgy alakították ki, hogy az NVRAM használatával olyan környezetet alakítottak ki, ami a firmware frissítésével vagy a router újraindításával sem szűnik meg – csak a gyári alaphelyzet alkalmazásával lehet kiütni a kártékony kódot az NVRAM-ból.
Az anno nem derült ki, pontosan mely routerek érintettek, az RT-AX55-ös modell érintettségére is csak úgy derült fény, hogy szerepelt a típusjelzése a fentebb említett CVE bejegyzésben. A feltört routereket a támadók aztán bothálózatba tömörítették, ami a humoros „AyySSHush” nevet kapta, de ez a hálózat nem igazán volt aktív, három hónap alatt mindössze 30 kérést kaptak az érintett routerek.
Az ASUS nemrégiben reagált a helyzetre, és igyekeztek megnyugtatni a potenciálisan érintett routerek tulajdonosait. A vállalat szerint a sebezhetőség javítására már rendelkezésre áll szoftverfrissítés minden olyan router számára, ami még nem érte el életciklusának végét (EOL), így ezekhez érdemes is beszerezni a legfrissebb firmware-t. Ezzel a még nem érintett routerek védetté válhatnak, az érintett példányoknál azonban extra lépésekre is szükség van. Ellenőrizni kell, hogy nyitva van-e a fentebb említett TCP port és látunk-e a naplófájlban feltörésre utaló jeleket, illetve találunk-e olyan SSH kulcsot, aminek nem kéne jelen lennie a rendszerben. Ha ezekre igen a válasz, akkor a firmware frissítését követően gyári alaphelyzetbe kell állítani a routert, majd erős jelszóval kell védeni a webes felhasználói kezelőfelületet.
Azoknál a routereknél, amelyekhez hivatalosan már nem jár terméktámogatás, le kell tiltani a távoli hozzáférést biztosító funkciókat, például az SSH-t, a DDNS-t, az AiCloud-ot, illetve a webes felhasználói kezelőfelület interneten keresztüli elérhetőségét is, plusz be kell zárni az esetlegesen nyitott 53282-es TCP portot. Utóbbi műveletsor azok számára is járható út lehet, akik nem akarják gyári alaphelyzetbe állítani a routert a firmware frissítését követően. Magát az incidenst egyébként a GreyNoise vette észre a Sift névre keresztelt AI alapú biztonság-ellenőrző szoftverével, még március folyamán, majd értesítették is a gyártót. A Censys felmérése szerint legalább 9000 routert érint a probléma, azaz ennyit biztosan feltörtek a támadók, de hírünk írásakor már 9500 felett jár ez a szám.
Az ASUS csapata a potenciálisan érintett felhasználók számára már küldött értesítést, haladéktalanul frissítsék a router firmware-ét. A gyártó egyébként azt is megerősítette, már a GreyNoise beszámolója előtt elkezdték a fentebb említett ismert sebezhetőséggel szembeni védekezést, vagyis nemcsak az RT-AX55-ös routernél, hanem a többi terméknél is készültek a javítást tartalmazó szoftverek, ami mindenképpen jó hír.
Érdemes tehát frissíteni az összes ASUS router szoftverét – de nemcsak most, hanem úgy általában is, és ugyanezt a többi gyártó többi termékénél is érdemes megtenni, hiszen a friss szoftver rendszerint tartalmazza az összes szükséges biztonsági javítást.
