Ribuan cincin ESU telah dikompromikan karena botnet yang baru ditemukan yang disebut ‘Ayysshush’. Serangan tersembunyi terdeteksi pada Maret 2025 oleh perusahaan cybersecurity greynoise, yang dilaporkan Otentikasi mengeksploitasi dan menggunakan fitur router untuk mempertahankan akses jangka panjang. Secara khusus, pintu belakang tidak menggunakan malware apa pun, dan akses tidak sah tidak dapat dihapus menggunakan pembaruan firmware.
Serangan dimulai dengan para aktor ancaman yang ditujukan pada router melalui upaya login brute force dan mengeksploitasi teknik derivasi otentikasi, beberapa di antaranya tetap tidak berdokumen tanpa CVE yang ditugaskan. Begitu masuk, mereka diarahkan dan dieksploitasi CVE-2023-39780Kerentanan injeksi perintah yang diketahui, untuk menjalankan perintah sewenang -wenang di tingkat sistem. Teknik ini memungkinkan penyerang untuk memanipulasi konfigurasi router menggunakan fungsi yang sah dalam firmware.
Para penyerang menggunakan fitur resmi EST Routor untuk mendapatkan akses yang persisten. Mereka juga memperoleh kemampuan untuk mengaktifkan SSH di port non -standar (TCP 53282) dan menginstal kunci SSH publik sendiri, memungkinkan kontrol administrasi jarak jauh. Karena pintu belakang ditulis dalam memori non -volatile (NVRAM) dari router, ia dapat bertahan dari pembaruan firmware dan reset perangkat. Selain itu, dengan menonaktifkan pendaftaran sistem dan merutekan router keamanan Karakteristik, penyerang memastikan mereka tidak dapat dideteksi.
Menurut laporan Graynoise, teknik yang digunakan oleh penyerang menyarankan perencanaan menyeluruh untuk akses jangka panjang dan menunjukkan pengetahuan yang mendalam tentang arsitektur sistem. Lebih dari 9.000 router ESU telah dikonfirmasi sebagai berkomitmen, menurut data Censys, sebuah platform yang memantau dan memetakan perangkat berorientasi internet di seluruh dunia. Kecaman mengidentifikasi perangkat yang terpapar ke internet, sementara Graynoise mendeteksi perangkat mana yang diserang atau dieksploitasi secara aktif. Ini menawarkan citra yang lebih jelas dari skala dan stealth dari kampanye saat ini.
Penemuan eksploitasi dibuat dengan alat analisis AI Greynoise yang disebut ‘lunak’. Itu hanya menandai tiga permintaan HTTP pasca yang ditujukan pada titik akhir router Asus untuk inspeksi yang lebih dalam, yang kemudian diamati menggunakan profil menakut -nakuti yang ditiru yang menjalankan firmware pabrik. Anehnya, Soft mendeteksi hanya 30 permintaan jahat untuk jangka waktu tiga bulan, meskipun mengorbankan ribuan perangkat.
Asus telah meluncurkan pembaruan firmware baru yang membahas CVE-2023-39780, serta teknik bypass awal yang tidak tersedia awal. Namun, pembaruan kurang lebih merupakan tindakan pencegahan. Setiap router yang sebelumnya telah dieksploitasi, memperbarui firmware tidak akan menghilangkan pintu belakang SSH. Ini karena perubahan konfigurasi berbahaya disimpan dalam memori non -volatile dan tidak ditimpa selama pembaruan firmware standar.
Untuk memastikan bahwa router benar -benar aman, pengguna yang mengambil tindakan manual tambahan direkomendasikan, termasuk verifikasi akses SSH aktif di TCP 53282, meninjau Otorisasi_keys Arsip untuk entri yang tidak diketahui dan memblokir alamat IP jahat yang diketahui yang mungkin terkait dengan kampanye. Jika dicurigai bahwa perangkat dilakukan, lebih baik melakukan restart pabrik lengkap dan kemudian mengkonfigurasi ulang router dari awal.
Melanjutkan Tom Hardware di Google News Untuk mendapatkan berita, analisis, dan ulasan kami diperbarui dalam feed mereka. Pastikan untuk mengklik tombol Force.
