Routery znanej marki zagrożone. Producent radzi, jak się chronić

ASUS zareagował na niedawny atak botnetowy, który dotknął tysiące użytkowników na całym świecie. Firma nie tylko udostępniła aktualizacje zabezpieczeń, ale również opublikowała jasne instrukcje, jak całkowicie usunąć zagrożenie i zabezpieczyć urządzenia na przyszłość.

Atak nazwany AyySSHush wykorzystuje lukę w zabezpieczeniach oznaczoną jako CVE-2023-39780. Cyberprzestępcy wykorzystują ją do uzyskania zdalnego dostępu do routerów ASUSA, nawet po aktualizacji oprogramowania czy ponownym uruchomieniu urządzenia. Wszystko dlatego, że atakujący zapisują własne klucze SSH w pamięci urządzenia i uruchamiają zdalny dostęp przez port. Dodatkowo wyłączają funkcje logowania oraz zabezpieczenia, przez co wykrycie zagrożenia jest trudniejsze.

ASUS reaguje na atak botnetowy – zaleca reset routera i zmianę hasła

Jak informuje firma GreyNoise, która jako pierwsza odkryła botnet, zagrożenie jest poważne – ponad 9 tysięcy routerów ASUSA na całym świecie mogło paść ofiarą ataku. Choć aktywność botnetu jak na razie nie była intensywna, a zapytań z nim powiązanych odnotowano stosunkowo niewiele, eksperci podkreślają, że za atakiem stoją dobrze przygotowane i zasobne grupy.

Producent uczciwie przyznał, iż sama aktualizacja oprogramowania nie wystarczy, jeśli router został już zainfekowany. Dlatego zaleca trzy kroki: najpierw należy zaktualizować router do najnowszej wersji oprogramowania, potem przywrócić go do ustawień fabrycznych, a na końcu ustawić silne hasło administratora. Firma radzi, by nowe hasło miało co najmniej 10 znaków i zawierało wielkie oraz małe litery, cyfry i symbole.

W przypadku starszych modeli routerów, które nie są już wspierane i nie otrzymują nowych aktualizacji, ASUS sugeruje zainstalowanie ostatniej dostępnej wersji firmware’u, wyłączenie wszystkich funkcji zdalnego dostępu (takich jak SSH, DDNS, AiCloud czy dostęp przez przeglądarkę od strony internetu) i upewnienie się, że port 53282 nie jest otwarty. Warto też regularnie sprawdzać logi urządzenia pod kątem nieudanych prób logowania i nieznanych kluczy SSH.

Co ważne, ASUS twierdzi, iż pracował nad łatkami jeszcze zanim GreyNoise nagłośniło temat. Wśród zaktualizowanych modeli znalazł się m.in. popularny RT-AX55. Użytkownicy tych urządzeń otrzymali powiadomienia z prośbą o jak najszybsze wykonanie aktualizacji.