AyySSHush ha già compromesso 9000 router ASUS con backdoor SSH persistenti: cosa fare adesso

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...so_139244.html

Una sofisticata campagna di attacco ha compromesso migliaia di router ASUS attraverso l'installazione di backdoor SSH che sopravvivono agli aggiornamenti firmware. La minaccia sfrutta vulnerabilità note e tecniche di bypass dell'autenticazione per creare una rete di dispositivi compromessi. Nella pagina vi spieghiamo come rimediare, se coinvolti nell'attacco.

Click sul link per visualizzare la notizia.

[foggypunk]

brutta storia per ASUS

[Frakker84]

una cosa non mi è chiara... per poter sfruttare tale vulnerabilità, quali sono i requisti? Ad esempio, l'interfaccia di amministrazione del router deve essere esposta ad internet?

[Gringo [ITF]]

Quote:

Originariamente inviato da Frakker84

una cosa non mi è chiara... per poter sfruttare tale vulnerabilità, quali sono i requisti? Ad esempio, l'interfaccia di amministrazione del router deve essere esposta ad internet?

E' una Backdoor basta che ti dicano le istruzioni e le chiavi e tu la usi, nulla di chè, (Sopravvive pure agli upgrade del firmware..... LOL) più che altro la gente dovrebbe rivalutare ASUS.... e farla calare un poco dal trono.

[Frakker84]

Quote:

Originariamente inviato da Gringo [ITF]

E' una Backdoor basta che ti dicano le istruzioni e le chiavi e tu la usi, nulla di chè, (Sopravvive pure agli upgrade del firmware..... LOL) più che altro la gente dovrebbe rivalutare ASUS.... e farla calare un poco dal trono.

Forse mi sono espresso male, per poter sfruttare la vulnerabilità e quindi inserire la backdoor, si deve avere accesso all'interfaccia di gestione del router (mi immagino, proprio perché non è indicato)? Altrimenti, se così non fosse, si sarebbero installate le backdoor a livello planetario su tutti i router affetti. La sfruttabilità della cosa sarebbe stata molto differente, altrimenti penso le avrebbero dato 10 di score.

EDIT:
trovata la risposta https://www.cve.org/CVERecord?id=CVE-2023-39780
"On ASUS RT-AX55 3.0.0.4.386.51598 devices, authenticated attackers can perform OS command injection via the /start_apply.htm qos_bw_rulelist parameter"

[An.tani]

Quote:

Originariamente inviato da foggypunk

brutta storia per ASUS

Anche no:

From poking around the US centric SMBforums this appears to be new malware exploiting a vulnerability patched in 2023.

Se non sei in grado di fare i dovuti upgrade del firmware NON comparti un router e usa quello che ti da il provider

[sbaffo]

Quote:

Originariamente inviato da Gringo [ITF]

E' una Backdoor basta che ti dicano le istruzioni e le chiavi e tu la usi, nulla di chè, (Sopravvive pure agli upgrade del firmware..... LOL) più che altro la gente dovrebbe rivalutare ASUS.... e farla calare un poco dal trono.

Non ho capito come fa a sopravvivere al flash firmware, e nessun articolo che ho letto lo spiega. Credevo fosse impossibile.

[DjLode]

Quote:

Originariamente inviato da sbaffo

Non ho capito come fa a sopravvivere al flash firmware, e nessun articolo che ho letto lo spiega. Credevo fosse impossibile.

Da quello che ho capito, molto semplicemente aggiunge una chiave che garantisce accesso SSH, attivato sulla porta 53282. Di fatto è una configurazione e "resiste" anche all'upgrade del firmware.
Nella pagina linkata dell'articolo è spiegato:

Quote:

Finally, we see remote SSH enabled on a high port TCP/53282 through the official ASUS settings with an attacker controlled public key added to the router’s keyring. This grants the attacker exclusive SSH access. Additionally, because the backdoor is part of the official ASUS settings, it will persist across firmware upgrades, even after the original vulnerability used to gain access has been patched.

Dovrebbe bastare un reset delle impostazioni o anche banalmente cancellare la chiave.