Κρίσιμη ευπάθεια σε routers της Asus επηρεάζει χιλιάδες χρήστες

Εάν διαθέτετε router της Asus, συνιστάται να ελέγξετε αμέσως τη συσκευή σας για πιθανή παραβίαση.

Η GreyNoise δημοσίευσε μια ανάλυση την Τετάρτη, αναφέροντας ότι οι επιτιθέμενοι χρησιμοποίησαν επιθέσεις brute-force και τεχνικές παράκαμψης αυθεντικοποίησης για να αποκτήσουν πρόσβαση στα router. Αξιοσημείωτο είναι το γεγονός ότι οι χάκερ χρησιμοποίησαν τεχνικές παράκαμψης που δεν αντιστοιχούν σε CVEs (κοινές ευπάθειες και εκθέσεις), υποδεικνύοντας ότι οι συγκεκριμένες ευπάθειες ήταν είτε άγνωστες είτε γνωστές μόνο σε περιορισμένο κύκλο.

Μετά την πρόσβαση, οι χάκερ εκμεταλλεύτηκαν την ευπάθεια CVE-2023-39780 του router της Asus για να εκτελέσουν εντολές κατά βούληση. Ενεργοποίησαν την πρόσβαση SSH (secure shell) μέσω των ρυθμίσεων της Asus, επιτρέποντάς τους να συνδεθούν και να ελέγξουν τις συσκευές. Στη συνέχεια, αποθήκευσαν το configuration—ή το backdoor—στη μνήμη NVRAM, αντί στο δίσκο του router. Οι επιτιθέμενοι δεν άφησαν κακόβουλο λογισμικό και απενεργοποίησαν την καταγραφή, καθιστώντας τις επιθέσεις τους δύσκολο να εντοπιστούν.

Η GreyNoise δεν έχει αποδώσει την επίθεση σε συγκεκριμένη ομάδα, αλλά σημειώνει ότι "οι τακτικές που χρησιμοποιούνται σε αυτή την εκστρατεία—όπως η κρυφή αρχική πρόσβαση, η χρήση ενσωματωμένων λειτουργιών του συστήματος για τη διατήρηση της πρόσβασης και η προσεκτική αποφυγή εντοπισμού—είναι συμβατές με εκείνες που παρατηρούνται σε προηγμένες, μακροπρόθεσμες επιχειρήσεις, συμπεριλαμβανομένων δραστηριοτήτων που σχετίζονται με προηγμένες επίμονες απειλές (APT) και δίκτυα αναμετάδοσης επιχειρήσεων (ORB)." Η εταιρεία συμπληρώνει ότι "το επίπεδο τεχνογνωσίας υποδηλώνει έναν αντίπαλο με σημαντικούς πόρους και υψηλές δυνατότητες."

Η τεχνολογία Sift της GreyNoise εντόπισε πρώτα το πρόβλημα στις 17 Μαρτίου, παρατηρώντας ασυνήθιστη κίνηση. Η εταιρεία χρησιμοποιεί πλήρως προσομοιωμένα προφίλ Asus router που διαθέτουν εργοστασιακό firmware για να ελέγχει για τέτοια ζητήματα, επιτρέποντας στους ερευνητές να παρατηρήσουν τη συμπεριφορά των επιτιθεμένων, να αναπαράγουν την επίθεση και να ανακαλύψουν πώς εγκαταστάθηκε το backdoor.

Σύμφωνα με την GreyNoise, έως τις 27 Μαΐου, σχεδόν 9.000 router είχαν επιβεβαιωμένα παραβιαστεί. Η εταιρεία αντλεί αυτά τα δεδομένα από την Censys, η οποία παρακολουθεί συσκευές σε όλο τον κόσμο που είναι συνδεδεμένες στο διαδίκτυο. Το πρόβλημα επιδεινώνεται καθώς οι επηρεαζόμενες συσκευές συνεχίζουν να αυξάνονται.

Ευτυχώς, η Asus διόρθωσε την ευπάθεια ασφαλείας σε μια πρόσφατη ενημέρωση του firmware. Ωστόσο, εάν το router παραβιάστηκε πριν την εγκατάσταση της ενημέρωσης, η πίσω πόρτα που εγκατέστησαν οι χάκερς δεν θα αφαιρεθεί αυτόματα.

Εάν έχετε router της Asus, θα πρέπει να συνδεθείτε στο router μέσω του browser σας. Η Asus αναφέρει ότι μπορείτε να μεταβείτε στο www.asusrouter.com ή να εισαγάγετε τη διεύθυνση IP του router σας και να συνδεθείτε με το όνομα χρήστη και τον κωδικό πρόσβασης. Στη συνέχεια, αναζητήστε την επιλογή "Enable SSH" στις ρυθμίσεις. Το router σας έχει παραβιαστεί εάν διαπιστώσετε ότι κάποιος μπορεί να συνδεθεί μέσω SSH στη θύρα 53828 με το κλειδί που αρχίζει με "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ".

Για να προστατέψετε τη συσκευή σας, απενεργοποιήστε την καταχώρηση SSH και αποκλείστε τις διευθύνσεις IP: 101.99.91.151, 101.99.94.173, 79.141.163.179 και 111.90.146.237. Στη συνέχεια, κάντε επαναφορά εργοστασιακών ρυθμίσεων στο router σας, καθώς μόνο μια πλήρης επαναφορά μπορεί να διασφαλίσει την προστασία του router.

Εάν το router σας δεν έχει επηρεαστεί, εγκαταστήστε αμέσως την τελευταία ενημέρωση firmware για να προστατευτείτε από αυτόν τον τύπο επίθεσης στο μέλλον.

• ASUS
• Hacking