Enrutadores de Asus y populares y bien revisados. Como tal, existe una buena posibilidad de que tenga uno de sus dispositivos que alimenten el wifi de su hogar. Si lo hace, probablemente debería verificarlo, ya que miles de enrutadores de ASUS ahora están comprometidos.
¿Qué pasó?
La compañía de ciberseguridad Greynoise publicó una publicación de blog sobre este ataque de enrutador el miércoles. Greynoise dice que los atacantes utilizaron intentos de inicio de sesión de fuerza bruta (ejecutando millones de intentos de inicio de sesión hasta que se encuentre la coincidencia correcta) y los derivados de la autenticación (forzando su camino en torno a los protocolos de autenticación tradicionales) para irrumpir en estos enrutadores. En particular, los piratas informáticos utilizaron técnicas de derivación de autenticación que no se asignan CVE (vulnerabilidades y exposiciones comunes). Los CVE son etiquetas utilizadas para rastrear las vulnerabilidades de seguridad divulgadas públicamente, lo que significa que las vulnerabilidades de seguridad eran desconocidas o conocidas solo en un círculo limitado.
Una vez adentro, los piratas informáticos explotaron la vulnerabilidad CVE-2023-39780 del enrutador ASUS para ejecutar cualquier comando que quisieran. Los hackers habilitaron el acceso SSH (shell seguro) a través de la configuración de ASUS, que les permiten conectarse y controlar los dispositivos. Luego almacenaron la configuración, o la puerta trasera, en NVRAM, en lugar del disco del enrutador. Los piratas informáticos no dejaron el malware, e incluso deshabilitaron el registro, lo que hace que sus ataques sean difíciles de detectar.
No está claro quién está detrás de estos ataques, pero Greynoise dijo lo siguiente: “Las tácticas utilizadas en esta campaña (acceso inicial de salud, el uso de características del sistema incorporadas para la persistencia y la evitación cuidadosa de la detección) son consistentes con las vistas en las operaciones avanzadas y a largo plazo, incluida la actividad de la actividad persistente avanzada (APT) actores y operadores de la red) a largo plazo, mientras que la red de la red de los niveles no ha hecho la red de la red de los niveles de la red), mientras que la red de la red de los niveles) ha realizado la red de la red de los niveles), mientras que las redes de la red de los niveles). Tradecraft sugiere un adversario bien recubierto y altamente capaz “.
¿Cómo se descubrió Greynoise?
Sift, la tecnología AI de Greynoise, detectó por primera vez un problema el 17 de marzo, notando el tráfico inusual. Greynoise utiliza perfiles ASUS totalmente emulados que ejecutan un firmware de fábrica para probar problemas como estos, que permiten a los investigadores observar el comportamiento completo de los atacantes, reproducir el ataque y descubrir cómo se instaló la puerta trasera. Los investigadores de la compañía recibieron el informe de SIFT al día siguiente y comenzaron a investigar, coordinando con “socios gubernamentales e industriales”.
Greynoise informó que, a partir del 27 de mayo, se confirmaron casi 9,000 enrutadores comprometidos. La compañía está extrayendo esos datos de Censys, que mantiene pestañas en los dispositivos orientados a Internet en todo el mundo. Para empeorar las cosas, los dispositivos afectados solo continúan aumentando: a partir de esta pieza, había 9.022 enrutadores impactados en el sitio de Censys.
Afortunadamente, Greynoise informa que ASUS reparó la vulnerabilidad de seguridad en una reciente actualización de firmware. Sin embargo, si el enrutador se vio comprometido antes de que se instalara el parche, los piratas informáticos de puerta trasera colocados en el enrutador no se eliminarán. Incluso si este es el caso, puede tomar medidas para proteger su enrutador.
Si tienes un enrutador asus, haz esto
Primero, confirme que su enrutador está hecho por Asus. Si es así, inicie sesión en su enrutador a través de su navegador de Internet. Iniciar sesión en su enrutador varía según el dispositivo, pero de acuerdo con ASUS, puede dirigirse a www.asusrouter.com, o ingresar la dirección IP de su enrutador en su barra de direcciones, luego inicie sesión con su nombre de usuario y contraseña de su enrutador ASUS. ASUS dice que si esta es la primera vez que ha iniciado sesión en el enrutador, deberá configurar su cuenta.
¿Qué piensas hasta ahora?
Desde aquí, identifique la opción de configuración “Habilitar SSD”. (You may find this under “Service” or “Administration,” according to PCMag.) You’ll know the router is compromised if you see that someone can log in via SSH over port 53828 with the following key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ (the rest of the key has been cortar para longitud).
Ahora, deshabilite la entrada SSH y bloquee estas direcciones IP:
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
Desde aquí, la fábrica reinicie su enrutador. Desafortunadamente, el parche solo no será suficiente, ya que el ataque sobrevive a cualquier actualización. Un reinicio total es la única forma de asegurarse de que su enrutador esté protegido.
Sin embargo, si ve que su enrutador no se vio afectado aquí, instale la última actualización de firmware lo antes posible. Los enrutadores no afectados que instalan el último parche estarán protegidos de este tipo de ataque en el futuro.
