Penyerang mendapatkan akses, menjalankan perintah melalui kerentanan yang diketahui
Kampanye pintu belakang ditujukan untuk beberapa model perutean ASUS, dengan Graynoise awalnya mendeteksi upaya serangan terhadap Asuswr-AC3200 dan RT-AC3100 profil firmware yang ditiru, baik dengan konfigurasi konfigurasi “AYPASES”. Ke Graynoise. Teknik Derivasi Otentikasi yang digunakan termasuk Penugasan Agen Pengguna “AsusRouter” dan penggunaan cookie “asus_token =” diikuti oleh byte nol, yang dapat mengakhiri analisis rantai sebelum waktunya selama proses otentikasi dan mengarah pada otentikasi sistem yang rentan, Menurut analisis teknis Greynoise.Sekoia.io juga menunjukkan eksploitasi CVE-2021-32030 di dalam Pengamatan AndaCacat bypass otentikasi yang menampilkan perangkat mini Asus GT-AC2900 dan Lyra yang menegaskan. Setelah penyerang mendapatkan akses yang diautentikasi, mereka mengeksplorasi pengaturan bawaan dan kekurangan keamanan untuk membuat koneksi SSH di TCP/53282 di sepanjang kunci publik yang dikendalikan oleh penyerang untuk akses yang persisten, remote. CVE-2023-39780Para penyerang mengeksploitasi kerentanan injeksi komando ini untuk mengaktifkan fungsi pendaftaran terintegrasi yang disebut SQLite Bandwidth (BWSQL). Kode yang digunakan oleh fungsi pendaftaran ini memungkinkan pelaksanaan data yang dikendalikan pengguna, memperluas kemampuan penyerang untuk menyuntikkan perintah berbahaya.
Reset pabrik yang disarankan untuk perangkat yang dikompromikan
Konfigurasi pintu belakang dalam serangan ini disimpan dalam memori akses acak yang tidak volatile (NVRAM) alih -alih disk, sehingga tahan terhadap eliminasi melalui pembaruan restart atau firmware. “Jika router dikompromikan sebelum memperbarui, pintu belakang masih akan hadir kecuali akses SSH secara eksplisit ditinjau,” telah dihapus, “Greynonnonnnoise dieliminasi, dinyatakan. Greynoise merekomendasikan perangkat pengguna yang dikompromikan ketika memverifikasi akses SSH di TCP/53282 dan dan masuk yang tidak berafhoriisasi di dalam wisshy.
