Χιλιάδες routers της ASUS έχουν παραβιαστεί χάρη σε ένα νέο botnet που ονομάζεται AyySSHush σύμφωνα με την εταιρεία ασφαλείας GreyNoise. Το αξιοσημείωτο είναι ότι το backdoor δεν χρησιμοποιεί κάποιο κακόβουλο λογισμικό και δεν μπορεί να αφαιρεθεί με ενημερώσεις του firmware στα routers που επηρεάστηκαν.
Όλα ξεκίνησαν όταν οι διαδικτυακοί εγκληματίες, άρχιζαν να στοχεύουν τα routers, μέσω επιθέσεων brute-force στους κωδικούς πρόσβασης και με τεχνικές παράκαμψης της αυθεντικοποίησης. Αφού αποκτήσουν πρόσβαση, εκμεταλλεύονται το CVE-2023-39780, μια γνωστή ευπάθεια, ώστε να εκτελούν αυθαίρετες εντολές σε επίπεδο συστήματος.
Καρδιολόγοι ικετεύουν να βάλεις τέλος άμεσα σε αυτή τη συνήθεια
Κάπως έτσι αποκτούν μόνιμη πρόσβαση, ενώ ενεργοποιούν το SSH σε μια μη αναμενόμενη θλυρα (TCP 53282) εγκαθιστώντας το δικό τους public key και αποκτώντας με αυτόν τον τρόπο απομακρυσμένη πρόσβαση. Δεδομένου μάλιστα ότι ότι το backdoor γράφεται στη NVRAM του router, μπορεί να επιβιώσει τόσο από ενημερώσεις firmware όσο και από επανεκκινήσεις της συσκευής.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
