Vulnerabilità sui router ASUS: la risposta ufficiale e le linee guida per proteggersi

ASUS ha rilasciato una nota ufficiale per rispondere alle recenti segnalazioni riguardanti la compromissione di migliaia di router attraverso la campagna AyySSHush. L'azienda taiwanese ha voluto chiarire che le vulnerabilità segnalate possono essere risolte attraverso procedure specifiche che vanno oltre il semplice aggiornamento del firmware.

La botnet AyySSHush ha dimostrato un livello di sofisticazione tecnica particolarmente elevato, compromettendo oltre 9000 router ASUS attraverso lo sfruttamento della vulnerabilità CVE-2023-39780. Gli aggressori hanno utilizzato tecniche di brute force e bypass dell'autenticazione per installare backdoor SSH che persistono anche dopo gli aggiornamenti del firmware, creando una rete di dispositivi compromessi silenziosamente operativa.

Vulnerabilità CVE-2023-39780: la risposta ufficiale di ASUS

La campagna di attacco ha preso di mira principalmente i modelli RT-AC3100, RT-AC3200 e RT-AX55, sfruttando una falla di iniezione di comandi già nota dal 2023. Gli aggressori hanno aggiunto le proprie chiavi pubbliche SSH e configurato il daemon SSH per l'ascolto sulla porta TCP 53282, utilizzando funzionalità legittime del sistema per garantire la persistenza delle modifiche. L'approccio utilizzato dalla botnet risulta particolarmente insidioso per la sua natura stealth: gli aggressori disattivano sistematicamente la registrazione dei log e altri strumenti di sicurezza, rendendo difficile il rilevamento delle attività malevole. Di fatto, negli ultimi tre mesi sono state registrate solo 30 richieste dannose nonostante l'infezione di migliaia di dispositivi.

Nella nota, ASUS ha sottolineato che i dispositivi aggiornati con l'ultimo firmware e protetti con password di amministratore complesse possono prevenire futuri sfruttamenti di CVE-2023-39780. L'azienda ha raccomandato, nella fattispecie, password di almeno dieci caratteri che includano lettere maiuscole e minuscole, numeri e simboli. Per i dispositivi potenzialmente compromessi, ASUS ha definito una procedura di ripristino in tre fasi: aggiornamento del firmware all'ultima versione, esecuzione di un ripristino delle impostazioni di fabbrica per cancellare eventuali configurazioni non autorizzate, e impostazione di una password di amministratore complessa secondo le specifiche indicate.

I dispositivi End-of-Life che non ricevono più aggiornamenti del firmware richiedono, invece, particolare attenzione: ASUS raccomanda di installare l'ultima versione disponibile, utilizzare password complesse e disabilitare tutte le funzionalità di accesso remoto come SSH, DDNS, AiCloud o Web Access da WAN. Per il monitoraggio di attività sospette, gli utenti possono verificare che il protocollo SSH sulla porta TCP 53282 non sia accessibile dall'esterno della rete e controllare il registro di sistema per escludere la presenza di ripetuti errori di accesso o chiavi SSH sconosciute. La scoperta di valori anomali richiede l'applicazione immediata delle raccomandazioni di sicurezza fornite.

La campagna AyySSHush presenta similitudini con l'attività "Vicious Trap" tracciata da Sekoia, che ha interessato router SOHO, VPN SSL, DVR e controller BMC di diversi produttori. Mentre Sekoia ha riportato lo sfruttamento di CVE-2021-32030, AyySSHush si concentra principalmente su CVE-2023-39780, suggerendo un'evoluzione delle tecniche di attacco. L'obiettivo finale della botnet rimane poco chiaro, dato che non sono stati osservati attacchi DDoS o utilizzo dei dispositivi per il proxy di traffico dannoso. La campagna sembra costruire silenziosamente una rete di router con backdoor, creando le fondamenta per operazioni future ancora non identificate.

Di seguito, riportiamo per intero la nota diffusa da ASUS:

In risposta alle recenti segnalazioni dei media riguardanti tentativi di sfruttamento delle vulnerabilità nei propri router, ASUS desidera comunicare che tali vulnerabilità possono essere risolte. Sebbene alcuni abbiano notato che un aggiornamento del firmware da solo potrebbe non risolvere completamente il problema, ASUS desidera sottolineare le seguenti raccomandazioni — tra cui l'aggiornamento all’ultima versione del firmware, l'esecuzione di un ripristino delle impostazioni di fabbrica e la scelta di password di amministratore complesse — per ripristinare e mantenere efficacemente la sicurezza del dispositivo.

Le misure descritte di seguito non sono solo essenziali per mitigare i potenziali rischi, ma anche fondamentali per rafforzare la protezione a lungo termine e la gestione responsabile dei dispositivi nell'odierno panorama della cybersecurity, in continua evoluzione.

Aggiornamenti del firmware e password complesse possono prevenire efficacemente i rischi futuri

Le segnalazioni riportate dai media riguardano la vulnerabilità di sicurezza (CVE-2023-39780), che è stata resa nota nel 2023. I dispositivi che sono stati aggiornati con l'ultimo firmware e protetti con una password di amministratore complessa possono prevenire futuri sfruttamenti di questa vulnerabilità e bloccare metodi di attacco simili.

Si raccomanda agli utenti di utilizzare una password di almeno dieci caratteri, che includa lettere maiuscole e minuscole, numeri e simboli. Inoltre, ASUS raccomanda di mantenere sempre aggiornato il firmware del proprio dispositivo, così da garantire un efficace livello di protezione continua.

I dispositivi che potrebbero essere stati interessati possono essere completamente ripristinati

Qualora in precedenza il router avesse utilizzato un firmware obsoleto e una password debole e gli utenti sospettino che possa essere stato compromesso, si prega di fare riferimento ai passaggi seguenti per proteggere nuovamente il dispositivo:

1. Aggiornare il firmware all'ultima versione
2. Eseguire un ripristino delle impostazioni di fabbrica per cancellare eventuali impostazioni non autorizzate oppure anomale
3. Impostare una password di amministratore complessa come descritto sopra

Questi passaggi garantiranno che il dispositivo sia completamente protetto e che non permangano potenziali rischi residui.

I dispositivi End-of-Life (EOL) possono ancora venire utilizzati in sicurezza

Per i dispositivi EOL che non ricevono più aggiornamenti del firmware, si raccomanda di rispettare le seguenti linee guida:

1. Installare l'ultima versione del firmware disponibile
2. Utilizzare una password di amministratore complessa
3. Disabilitare tutte le funzionalità di accesso remoto come SSH, DDNS, AiCloud o Web Access da WAN

Il completamento dei passaggi sopra descritti impedirà efficacemente che utenti non autorizzati possano sfruttare i metodi descritti nelle recenti segnalazioni.

Ulteriori suggerimenti per monitorare eventuali attività sospette

Gli utenti possono eseguire i seguenti controlli per determinare se il loro dispositivo mostra segni di accesso non autorizzato:

1. Confermare che il protocollo SSH (in particolare la porta TCP 53282) non sia accessibile dall’esterno della rete.
2. Controllare il registro di sistema per escludere l’eventuale presenza di ripetuti errori di accesso falliti oppure di chiavi SSH sconosciute.
3. Se qualche attività o valore apparisse sospetto, seguire le raccomandazioni di cui sopra per rimuovere completamente qualsiasi potenziale minaccia.

ASUS rimane pienamente impegnata a garantire la sicurezza dei propri utenti. Sono state emesse notifiche di aggiornamento del firmware e ulteriori raccomandazioni di sicurezza per i modelli supportati. Per ulteriore assistenza o dubbi, si prega di contattare direttamente il Servizio Clienti ASUS.

Grazie per la vostra continua fiducia e supporto.