Migliaia di router di Asus sfruttati in ambito domestico e piccoli uffici sono stati compromessi con una “backdoor” che è in grado di sopravvivere al riavvio e persino agli aggiornamenti firmware, un attacco portato avanti da qualche stato-nazione o altro autore di attacchi ben finanziato.
A riferirlo sono ricercatori di GreyNoise che hanno individuato a metà marzo la backdoor in oltre 9000 router del produttore taiwanese, infettati in modo persistente (la backdoor non può essere rimossa con il riavvio o l’aggiornamento del firmware, ma solo con un reset completo).
Gli attaccker hanno sfruttato vulnerabilità (compreso un bug nell’iniezione deii comandi che consentiva l’esecuzione di istruzioni di sistema) ora risolte (qui i dettagli), riuscendo ad ottenere senza autorizzazione accesso a funzionalità di controllo amministrativo, aggiungendo una chiave pubblica SSH e attivando il daemon SSH per la ricezione del traffico sulla porta TCP 53282.
L’attacco, come accennato, è stato individuato a marzo ma GreyNoise ha volutamente ritardato la diffusione della notizia, informando prima alcune agenzie governative non meglio specificate.
Asus ha rilasciato delle patch per risolvere varie vulnerabilità e come sempre è fondamentale aggiornare i propri dispositivi. Dal punto di vista tecnico per verificare se il proprio router Asus è infetto basta controllare le impostazioni SSH nel pannello di configurazione del dispositivo: se il router è compromesso, appare la possibilità di effettuare l’accesso SSH sulla porta 53282 utilizzando un certificato digitale con una chiave particolare chiave troncata (ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ).
I più esperti possono inoltre controllare i log di sistema e monitorare traffico (accessi) da alcuni indirizzi IP sospetti 101.99.91.151, 101.99.94.173, 79.141.163.179 e 111.90.146.237) probabili indicatori di compromissione del dispositivo.
Nel dubbio, per rimuovere la backdoor basta effettuare un reset completo e riconfigurare il router da zero.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
