Tausende Asus -Router werden derzeit von einem Botnet mit dem Spitznamen Ayysshush ausgerichtet. Im Gange wurde eine Betriebskampagne im vergangenen März von der Greynoise Cybersecurity Company entdeckt.

Laut der Censys -Plattform haben mehr als 4.500 Flugzeuge Kompromissindikatoren. Sie wurden durch die Ausführung von SSH auf dem TCP -Port/53282 identifiziert. Graynoise betont jedoch, dass mehr als Doppel -ASUS -Router beeinträchtigt wurden.

Der Angriff verbindet verschiedene Methoden, um den ersten Zugang zu den Routern zu erhalten, einschließlich Versuchen der Brute -Kraft und der Ausbeutung zweier Anfälligkeiten der Authentifizierung, für die es keine CVE -Zuordnung gibt.

Mit dem Beitrag eines alten Fehlers

Sobald der Zugang erhalten ist, nutzen die Angreifer eine alte Sicherheitslücke CVE-2023-39780 Für die Ausführung willkürlicher Aufträge auf den Routern.

Bildquelle: Censys

Censys schreibt, dass die Modelle von Zenwifi und Lyra (Mesh Solutions) fast die Hälfte der gefährdeten Geräte darstellen. In der allgemeinen öffentlichen Kategorie folgen Router wie RT-AC88U, RT-AX55 und TUF-AX3000.

Kompromisse befinden sich hauptsächlich in den USA, Schweden, Taiwan, Singapur und Hongkong. Trotzdem wird ein bedeutender internationaler Umfang für das Botnetz und ein besonders diskretes Betrieb mit wenigen Anfragen über drei Monate hervorgehoben.

Aufrechterhaltung des langfristigen Zugangs

Wenn es keine Auszeichnung für den operativen Angriff gibt, wird jedoch eine Parallele mit einer Kampagne namens Viciustrap erstellt und von Sekoia entdeckt.

Greynoise zeigt an, dass der öffentliche Schlüssel des Angreifers mit den offiziellen ASUS -Funktionen hinzugefügt wird und die Hintertür in nicht -Volatile Speicher (NVRAM (NVRAM) gespeichert wird) des Routers. Es gibt keine Löschung während der Firmware- oder Neustart -Upgrades.

„“ “ Der Angreifer behält einen langfristigen Zugriff, ohne Malware zu installieren Lassen Sie sich auch nicht sichtbare Spuren lassen, indem Sie die Authentifizierungsbypass mit einer bekannten Sicherheitsanfälligkeit und dem Missbrauch legitimer Konfigurationsfunktionen verkettet. »»

Cybersecuritis

Vollständige Reset, um zu erwarten, um zu erwarten

Graynoise und Censys veröffentlichen Kompromissindikatoren in Blog -Posts. ASUS-Aktualisierungen, um die Sicherheitsanfälligkeit CVE-2023-39780 zu korrigieren, sind unverzüglich, falls dies nicht bereits durchgeführt werden.

Es wird empfohlen, vier IP -Adressen im Zusammenhang mit dem mysteriösen Botnetz zu blockieren:

  • 101 (.) 99 (.) 91 (.) 151
  • 101 (.) 99 (.) 94 (.) 173
  • 79 (.) 141 (.) 163 (.) 179
  • 111 (.) 90 (.) 146 (.) 237

Im Falle eines Kompromisses des Kompromisses, vollständiger Zurücksetzen (Fabrikparameter) und manuelle Neukonfiguration werden empfohlen.