Enrutadores de Asus y populares y bien revisado. Como tal, existe una buena posibilidad de que tenga uno de sus dispositivos que alimenten el wifi de su hogar. Si lo hace, probablemente debería verificarlo, ya que miles de enrutadores de ASUS ahora están comprometidos.
¿Qué pasó?
Compañía de ciberseguridad Greynoise Publicado una publicación de blog sobre este ataque del enrutador el miércoles. Greynoise dice que los atacantes utilizaron intentos de inicio de sesión de fuerza bruta (ejecutando millones de intentos de inicio de sesión hasta que se encuentre el partido correcto) y Se omite la autenticación (forzando su camino en torno a los protocolos de autenticación tradicionales) para entrar en estos enrutadores. En particular, los piratas informáticos utilizaron técnicas de derivación de autenticación que no se asignan CVE (vulnerabilidades y exposiciones comunes). Los CVE son etiquetas utilizadas para rastrear las vulnerabilidades de seguridad divulgadas públicamente, lo que significa que las vulnerabilidades de seguridad eran desconocidas o conocidas solo en un círculo limitado.
Una vez adentro, los piratas informáticos explotaron el enrutador Asus CVE-2023-39780 vulnerabilidad para ejecutar cualquier comando que quisieran. Hackers habilitó el acceso SSH (shell seguro) a través de la configuración de ASUS, que les permiten conectarse y controlar los dispositivos. Luego almacenaron la configuración, o la puerta trasera, en NVRAM, en lugar del disco del enrutador. Los piratas informáticos no dejaron el malware, e incluso deshabilitaron el registro, lo que hace que sus ataques sean difíciles de detectar.
No está claro quién está detrás de estos ataques, pero Greynoise dijo lo siguiente: «Las tácticas utilizadas en esta campaña (acceso inicial de salud, el uso de características del sistema incorporadas para la persistencia y la evitación cuidadosa de la detección) son consistentes con las vistas en las operaciones avanzadas y a largo plazo, incluida la actividad de la actividad persistente avanzada (APT) actores y operadores de la red) a largo plazo, mientras que la red de la red de los niveles no ha hecho la red de la red de los niveles de la red), mientras que la red de la red de los niveles) ha realizado la red de la red de los niveles), mientras que las redes de la red de los niveles). Tradecraft sugiere un adversario bien recubierto y altamente capaz «.
¿Cómo se descubrió Greynoise?
Sift, la tecnología AI de Greynoise, detectó por primera vez un problema el 17 de marzo, notando el tráfico inusual. Greynoise utiliza perfiles ASUS totalmente emulados que ejecutan un firmware de fábrica para probar problemas como estos, que permiten a los investigadores observar el comportamiento completo de los atacantes, reproducir el ataque y descubrir cómo se instaló la puerta trasera. Los investigadores de la compañía recibieron el informe de SIFT al día siguiente y comenzaron a investigar, coordinando con «socios gubernamentales e industriales».
Greynoise informó que, a partir del 27 de mayo, se confirmaron casi 9,000 enrutadores comprometidos. La compañía está extrayendo esos datos de Censys, que mantiene pestañas en los dispositivos orientados a Internet en todo el mundo. Para empeorar las cosas, los dispositivos afectados solo continúan aumentando: a partir de esta pieza, había 9.022 enrutadores impactados Listado en el sitio de Censys.
Afortunadamente, Greynoise informa que ASUS reparó la vulnerabilidad de seguridad en una reciente actualización de firmware. Sin embargo, si el enrutador se vio comprometido antes de que se instalara el parche, los piratas informáticos de puerta trasera colocados en el enrutador no se eliminarán. Incluso si este es el caso, puede tomar medidas para proteger su enrutador.
Si tienes un enrutador asus, haz esto
Primero, confirme que su enrutador está hecho por Asus. Si es así, inicie sesión en su enrutador a través de su navegador de Internet. Iniciar sesión en su enrutador varía según el dispositivopero Según Asuspuedes dirigirte a www.asusrouter.comO ingrese la dirección IP de su enrutador en su barra de direcciones, luego inicie sesión con el nombre de usuario y la contraseña de su enrutador ASUS. ASUS dice que si esta es la primera vez que ha iniciado sesión en el enrutador, deberá configurar su cuenta.
¿Qué piensas hasta ahora?
Desde aquí, identifique la opción de configuración «Habilitar SSD». (Puede encontrar esto en «Servicio» o «Administración», Según PCMAG.) Sabrá que el enrutador está comprometido si ve que alguien puede iniciar sesión a través de SSH a través del puerto 53828 con la siguiente clave: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ (El resto de la llave se ha cortado para la longitud).
Ahora, deshabilite la entrada SSH y bloquee estas direcciones IP:
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
Desde aquí, la fábrica reinicie su enrutador. Desafortunadamente, el parche solo no será suficiente, ya que el ataque sobrevive a cualquier actualización. Un reinicio total es la única forma de asegurarse de que su enrutador esté protegido.
Sin embargo, si ve que su enrutador no se vio afectado aquí, instale la última actualización de firmware lo antes posible. Enrutadores no afectados que instalan el último parche voluntad estar protegido de este tipo de ataque en el futuro.
