Una vulnerabilità allarmante
Nel mese di marzo, i ricercatori di GreyNoise hanno rivelato una scoperta preoccupante: oltre 9.000 router ASUS sono stati compromessi da una backdoor persistente. Questo tipo di vulnerabilità è particolarmente insidiosa, poiché non può essere rimossa semplicemente riavviando il dispositivo o aggiornando il firmware. Gli utenti colpiti devono effettuare un reset completo per eliminare la minaccia.
Meccanismi di attacco
La backdoor, identificata come AyySSHush, è stata installata attraverso un attacco di forza bruta per ottenere le credenziali di accesso. I cybercriminali hanno utilizzato anche tecniche per aggirare l’autenticazione, sfruttando la vulnerabilità nota come CVE-2023-39780. Questa vulnerabilità ha permesso loro di eseguire comandi arbitrari sui router infetti, compromettendo ulteriormente la sicurezza dei dispositivi.
Implicazioni per la sicurezza
Una volta ottenuto l’accesso, gli attaccanti hanno aggiunto una chiave pubblica SSH e attivato il demone SSH sulla porta TCP 53282, consentendo loro di ricevere traffico in modo non autorizzato. La configurazione della backdoor è memorizzata nella NVRAM dei router, il che significa che persiste anche dopo un riavvio. ASUS ha rilasciato una patch per la vulnerabilità, ma gli utenti devono agire rapidamente per proteggere i propri dispositivi.
Raccomandazioni per gli utenti
È fondamentale che gli utenti installino il firmware più recente fornito da ASUS per mitigare i rischi associati a questa vulnerabilità. Inoltre, i ricercatori di GreyNoise consigliano di monitorare il traffico SSH sulla porta TCP 53282 e di bloccare specifici indirizzi IP noti per essere associati a questa minaccia.
Gli indirizzi da tenere d’occhio includono 101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237.