Asus опублікувала кілька заяв, пов’язаних з інформацією про те, що понад 9000 маршрутизаторів її виробництва зазнали кібератаки, в результаті якої на них з’явилися бекд ори. Компанія порадила постраждалим оновити прошивку на роутерах і зробити їхнє скидання до заводських налаштувань. Кіберзлочинці, заявили в компанії, при атаці експлуатують відому вразливість CVE-2023-39780, яка дозволяє включати доступ по SSH на порті TCP/53282 і встановлювати підконтрольний зловмисникам відкритий ключ для віддаленого доступу. Після цього необхідно скинути налаштування до заводських і встановити надійний пароль адміністратора.
Власникам маршрутизаторів, підтримка яких припинена, та просунутим користувачам Asus запропонувала відкрити налаштування пристрою та «відключити всі функції віддаленого доступу, у тому числі SSH, DDNS, AiCloud або веб-доступ із WAN і переконатися, що SSH (особливо порт TCP 53282) не відкритий з інтернету». Ботнет, який отримав назву AyySSHush, вперше виявила компанія GreyNoise, що спеціалізується на технологіях безпеки. Її експерти охарактеризували творців шкідливої мережі як «добре забезпеченого ресурсами та дуже підготовленого супротивника», але не стали робити припущень, хто це міг бути. Пошукова система Censys виявила понад 9500 імовірно заражених одиниць обладнання. Активність ботнета на сьогодні оцінюється як мінімальна — зареєстровано лише 30 запитів за три місяці.
Усіх користувачів, яких міг торкнутися інциденту, Asus повідомила push-повідомленнями, повідомили в компанії ресурсу Tom’s Hardware. На сайті виробника з’явилася докладна інформація про вразливість. Компанія також зауважила, що почала працювати над оновленням прошивок для низки моделей роутерів, включаючи RT-AX55, задовго до публікації доповіді GreyNoise. Це важливо, тому що у відомостях про вразливість CVE-2023-39780 вказано, що Asus була про неї до цього доповіді.
Стурбованим власникам маршрутизаторів рекомендували переконатись, що доступ до SSH не відкритий для інтернету; перевірити журнал пристрою на предмет повторюваних збоїв при вході або незнайомих ключів SSH, що вказують на атаку, яка здійснювалася методом підбору. Позбавлений належного захисту WAN-доступу до відкритого інтернету — загроза для обладнання; майже всі роутери, що зазнали злому, за версією виробника, працювали з вкрай вразливими налаштуваннями з вини користувачів. У всіх випадках є сенс перестрахуватися та встановити останню версію прошивки.