9000 роутеров Asus скомпрометированы ботнетом с устойчивым SSH-бэкдором
Тысячи роутеров Asus оказались скомпрометированы из-за нового ботнета под названием «AyySSHush». Атака была обнаружена в марте 2025 года компанией GreyNoise, специализирующейся на кибербезопасности. Эксперты выяснили, что злоумышленники используют уязвимости аутентификации и функции самих роутеров для поддержания долгосрочного доступа. Примечательно, что бэкдор не использует вредоносное ПО, а его нельзя удалить даже обновлением прошивки.
Атака начинается с подбора паролей и эксплуатации методов обхода аутентификации, включая уязвимость CVE-2023-39780, позволяющую выполнять произвольные команды на уровне системы. После проникновения злоумышленники активируют SSH на нестандартном порту (TCP 53282) и добавляют свой публичный SSH-ключ, получая полный контроль над устройством. Поскольку изменения сохраняются в энергонезависимой памяти (NVRAM), они сохраняются даже после перезагрузки или обновления прошивки.
По данным GreyNoise, атака тщательно спланирована и демонстрирует глубокое понимание архитектуры роутеров. Платформа Censys подтвердила компрометацию более 9000 устройств Asus. Интересно, что инструмент GreyNoise «Sift» обнаружил всего 30 подозрительных запросов за три месяца, несмотря на масштабность атаки.
Asus выпустила обновление прошивки, устраняющее CVE-2023-39780 и другие уязвимости. Однако оно не поможет уже зараженным устройствам — для полного восстановления безопасности пользователям рекомендуется проверить активные SSH-подключения, удалить неизвестные ключи из authorized_keys и выполнить сброс настроек до заводских.
ИИ: Ситуация показывает, насколько уязвимыми могут быть даже популярные сетевые устройства. Пользователям стоит регулярно проверять настройки безопасности и не пренебрегать сбросом роутера при подозрительной активности.
Источник: Tomshardware.com
0 комментариев