Miles de enrutadores de Asus Explotados en el hogar y las oficinas pequeñas se han comprometido con una «puerta trasera» que puede sobrevivir a las actualizaciones de reinicio e incluso de firmware, un ataque realizado por alguna nación estatal u otro autor de ataques bien financiados.
Para informar que son los investigadores de Graynoise quienes han identificado la puerta trasera a mediados de marzo en más de 9000 enrutadores del fabricante taiwanés, infectado persistentemente (la puerta trasera no se puede eliminar con el reinicio o actualización del firmware, pero solo con un reinicio completo).
Los Attrackers han explotado la vulnerabilidad (incluido un error en la inyección de los comandos que permitieron la ejecución de instrucciones del sistema) ahora resueltos (aquí Los detalles), gestionando para obtener el acceso de la autorización a las características de control administrativo, agregando una clave pública SSH y activando el Daemon SSH para recibir el tráfico en la puerta TCP 53282.
El ataque, como se mencionó, se identificó en marzo, pero Greynoise retrasó deliberadamente la difusión de las noticias, primero informando a algunas agencias gubernamentales no estancadas.
ASUS ha lanzado parches para resolver varias vulnerabilidades Y como siempre, es esencial actualizar sus dispositivos. Desde un punto de vista técnico para verificar si su enrutador ASUS está infectado, simplemente verifique la configuración de SSH en el panel de configuración del dispositivo: si el enrutador está comprometido, la posibilidad de llevar a cabo el acceso SSH a PortA 53282 aparece usando un certificado digital con una clave truncada particular (SSH-RERA-RERA (SSH-RERA (SSH-RERA (SSH-RERA (SSH-RERA (SSH-RERA AAAAB3ZAC1YC2EAAAAABIAAAAQAEO41NBOVJ4HLVMGV+YPSXMDMDMLBDDZ).
Los más experimentados también pueden controlar los registros del sistema y monitorear el tráfico (accesos) desde algunas direcciones IP sospechosas 101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237) indicadores de compromiso probables del dispositivo.
En caso de duda, para quitar la puerta trasera, simplemente haga un reinicio completo y reconfigure el enrutador desde cero.
Para obtener toda la información sobre la seguridad de TI, consulte la sección dedicada de MacityNet.