Уязвимость в роутерах Asus: угроза бэкдора
Аналитики компании GreyNoise обнаружили активную эксплуатацию уязвимости в роутерах Asus, подключенных к интернету. По данным специалистов, тысячи устройств уже скомпрометированы, и их число продолжает расти.
Злоумышленники используют несколько методов для получения доступа к роутерам:
- Брутфорс аутентификации через login.cgi
- Использование старых уязвимостей обхода аутентификации
После получения привилегированного доступа атакующие внедряют вредоносные нагрузки, эксплуатирующие уязвимость инъекции команд. Это позволяет им создать пустой файл, активирующий функцию BWDPI logging от TrendMicro, встроенную в роутеры Asus.
Создание скрытого доступа
Финальный этап атаки включает:
- Активацию удаленного SSH через официальные настройки Asus
- Добавление публичного ключа злоумышленников в keyring роутера
Важно: поскольку бэкдор реализован через официальные настройки Asus, он сохраняется даже после обновления прошивки.
Рекомендации по защите
GreyNoise советует администраторам:
- Проверить роутеры на наличие SSH-доступа через TCP/53282
- Искать несанкционированные записи в файле authorized_keys
- Заблокировать четыре подозрительных IP-адреса
При подозрении на компрометацию необходимо выполнить полный сброс к заводским настройкам и перенастроить устройство вручную.
Хотя Asus выпустила патч для одной из уязвимостей (CVE-2023039780), он не защищает уже скомпрометированные устройства. Специалисты отмечают, что методы атаки указывают на высокий уровень подготовки злоумышленников, возможно связанных с APT-группами.
