Analytici spoločnosti GreyNoise odhalili podozrivú kampaň, ktorá využíva zadné vrátka a zasiahla už viac než 9 000 routerov Asus. Útočníci, ktorých identita zatiaľ nie je známa, zneužívajú bezpečnostné chyby – niektoré už boli opravené, iné doteraz ani nemajú pridelený záznam v databáze CVE. Celý prípad sprevádza množstvo neznámych, keďže doposiaľ nebolo zaznamenané žiadne konkrétne zneužitie rozsiahleho botnetu, ktorý si útočníci vybudovali.
Tento bezpečnostný problém bol označený ako „ViciousTrap“ a analytici z GreyNose ho objavili cez vlastný AI systém Sift. Tej sa podarilo nájsť nezvyčajnú aktivitu v marci, čo viedlo k vyšetrovaniu. Následne po preskúmaní informovali analytici jednotlivé vlády a teraz priniesli blog v ktorom celý bezpečnostný problém popísali.
Podľa nich boli tisícky routerov značky Asus ohrozených tajnými „zadnými vrátkami,“ ktoré boli zneužité útočníkmi. Útočníkom sa to podarilo tak, že zneužili bezpečnostné diery v systéme a dostali sa cez proces verifikácie používateľa hrubou silou. Následne využili ďalší nedostatok v bezpečnosti routerov aby začali „vykonávať príkazy na routeri, zneužiť legitímnu funkciu spoločnosti Asus na povolenie prístupu SSH na konkrétnom porte TCP/IP a vložiť verejný šifrovací kľúč.“
Podľa výskumu GreyNoise sú tieto „zadné vrátka“ umiestnené v NVRAM a preto dokážu prežiť aj reštartovanie routerov a dokonca aj aktualizáciu firmvéru. Asus údajne túto slabinu odstránil cez jeho aktualizáciu, no v prípade, že bola bezpečnosť konkrétneho routera už zneužitá, ta je vyžadované manuálne odobranie SSH prístupu.
Problémom však je, že tieto „zadné vrátka“ sú efektívne neviditeľné. Preto bude mať používateľ veľmi ťažké pri identifikácii, či je aj jeho router napadnutý.
Podľa GreyNoise by mali administrátori odstrániť verejný kľúč pre neoprávnený SSH prístup a reštartovať manuálne nastavenia TCP/IP portov. Po tomto procese by mali byť routeri Asus v bezpečí. Analytici tiež upozorňujú, že administrátori by si mali dávať pozor na aktivitu z týchto IP adries:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
A v neposlednom rade by si mali aktualizovať firmvér zariadení.
