PSA: Тысячи беспроводных маршрутизаторов ASUS скомпрометированы ботнетом [U]

Тысячи беспроводных маршрутизаторов ASUS были скомпрометированы ботнетом, который также нацеливался на устройства Cisco, D-Link и Linksys. Способ заражения маршрутизаторов означает, что они остаются под контролем злоумышленников, даже если прошивка обновлена.

Обновление: Компания выпустила заявление, которое добавлено в конец статьи.

Беспроводные маршрутизаторы ASUS скомпрометированы

Исследователи безопасности из Greynoise впервые обнаружили эксплойт еще в марте, но отложили его публикацию, пока индустрия не скоординирует ответные меры.

GreyNoise выявила продолжающуюся кампанию эксплуатации, в ходе которой злоумышленники получили несанкционированный, постоянный доступ к тысячам маршрутизаторов ASUS, подключенных к Интернету. Похоже, это часть скрытой операции по созданию распределенной сети устройств с бэкдорами — потенциально закладывающей основу для будущей ботсети […].

Доступ злоумышленника сохраняется как после перезагрузки, так и после обновления прошивки, обеспечивая ему надежный контроль над затронутыми устройствами. Злоумышленник поддерживает долгосрочный доступ, не устанавливая вредоносное ПО и не оставляя явных следов, используя цепочку обхода аутентификации, эксплуатируя известную уязвимость и злоупотребляя законными функциями конфигурации.

Предполагается, что за атакой может стоять некое государство, которое планирует использовать скомпрометированные маршрутизаторы для масштабной эксплуатации.

Затронутые маршрутизаторы ASUS включают RT-AC3100, RT-AC3200 и RT-AX55.

Как отмечает Bleeping Computer, как только ваш маршрутизатор скомпрометирован, обновлять прошивку уже поздно.

Эти модификации позволяют злоумышленникам сохранять доступ через бэкдор к устройству даже после перезагрузки и обновлений прошивки. «Поскольку этот ключ добавляется с использованием официальных функций ASUS, это изменение конфигурации сохраняется при обновлениях прошивки», — объясняется в другом связанном отчете GreyNoise.

«Если вы ранее были скомпрометированы, обновление прошивки НЕ удалит SSH-бэкдор».

Эксплойт также отключает журналирование, что затрудняет определение того, скомпрометирован ли ваш маршрутизатор.

Что делать

Если у вас одна из перечисленных моделей ASUS, рекомендуется выполнить сброс настроек маршрутизатора до заводских, так как это единственный способ убедиться в его чистоте. После этого выполните обновление прошивки. Хотя само по себе обновление не устранит заражение, обновление после полного сброса предотвратит повторную компрометацию.

Нет информации об успешном заражении других упомянутых брендов, поэтому для них никаких действий не требуется.

Подробнее об этом можно узнать на Greynoise.

Заявление ASUS

Компания сообщила нам:

ASUS отправила push-уведомление (EDM) с призывом к пользователям обновить прошивку.
ASUS также поддерживает свою страницу с рекомендациями по безопасности продуктов, которая регулярно обновляется.
Рекомендации по безопасности продуктов ASUS — ASUS Global
CVS-2023-39780 и CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348 — это одно и то же.
MITRE изменила запись CVE Запись CVE: CVE-2023-39780

Кроме того, сотрудники службы поддержки проинструктированы для помощи клиентам в решении этого вопроса.

Рекомендуемые аксессуары

• Ультракомпактное зарядное устройство Anker 511 Nano Pro для iPhone
• Чехол Spigen MagFit для iPhone 16e — добавляет поддержку MagSafe
• Зарядное устройство Apple MagSafe мощностью 25 Вт для iPhone 16
• Зарядное устройство Apple мощностью 30 Вт для вышеуказанного
• Плетеная кабель Anker USB-C — USB-C мощностью 240 Вт

Изображение: коллаж 9to5Mac из изображений ASUS и Mathias Reding на Unsplash