Масштабная кибератака затронула более 9000 маршрутизаторов Asus. Злоумышленники использовали ботнет под названием «AyySSHush», который распространялся через брутфорс-атаки и обход аутентификации. Особенностью вредоносного ПО стало размещение бэкдора в энергонезависимой памяти для обхода обновлений прошивки.
Компания Asus выпустила официальное заявление с рекомендациями по защите устройств. В ходе атаки хакеры эксплуатировали уязвимость CVE-2023-39780 для активации SSH-доступа через нестандартный порт TCP/53282 и установки собственного открытого ключа для удаленного управления.
Для защиты устройств производитель рекомендует:
- Установить последнее обновление прошивки
- Выполнить сброс настроек до заводских
- Настроить надежный пароль администратора
Для устаревших устройств или технически подкованных пользователей предлагаются альтернативные меры безопасности:
- Отключить все функции удаленного доступа (SSH, DDNS, AiCloud)
- Запретить веб-доступ из глобальной сети
- Убедиться в закрытии TCP-порта 53282 для внешнего доступа
Важно отметить, что все описанные уязвимости уже устранены в актуальных версиях прошивок Asus, поэтому обновление программного обеспечения является первоочередной мерой защиты.
Ботнет AyySSHush был выявлен специалистами компании GreyNoise в марте текущего года. Мониторинг осуществлялся с помощью инновационной технологии искусственного интеллекта Sift. Эксперты GreyNoise охарактеризовали злоумышленников как технически подкованных и хорошо финансируемых, хотя прямых обвинений не выдвигалось.
На момент обнаружения атака затронула более 9500 маршрутизаторов Asus. Однако активность ботнета существенно снизилась – за последние три месяца зафиксировано всего 30 связанных с ним запросов.
Компания Asus оперативно отреагировала на угрозу. Сразу после обнаружения уязвимости CVE-2023-39780 производитель начал рассылку push-уведомлений пользователям и подготовил специальные материалы по безопасности. Важно отметить, что работа над обновлением прошивки, включая модель RT-AX55, началась задолго до официального отчета GreyNoise.
Рекомендации по безопасности:
- Проверить доступность SSH-сервера из интернета
- Проанализировать журнал маршрутизатора на предмет подозрительных попыток входа
- Проверить наличие незнакомых SSH-ключей
- Убедиться в актуальности установленной прошивки
Ключевые моменты безопасности:
- Не оставлять маршрутизатор с открытым доступом в интернет
- Регулярно проверять систему на наличие уязвимостей
- Своевременно устанавливать обновления прошивки
- Использовать надежные пароли администратора
Большинство заражённых устройств работали в условиях, созданных пользователями и создающих уязвимости. Поэтому даже при отсутствии явных признаков заражения рекомендуется принять все необходимые меры предосторожности для защиты сетевого оборудования.
По материалам:
tomshardware
