Impatto Sistemico

Critico (77.94)

Sintesi

E’ stata rilevato lo sfruttamento di una vulnerabilità nei router Asus che consente l’apertura di una backdoor, persistente anche dopo il riavvio del dispositivo o gli aggiornamenti del firmware.

Note : la vulnerabilità risulta essere sfruttata attivamente in rete.

Tipologia

• Privilege Escalation
• Bypass Authentication
• Exploiting Vulnerabilities

Descrizione e potenziali impatti

E’ stata rilevato lo sfruttamento attivo di una vulnerabilità presente nei router Asus che potrebbe consentire la creazione di una backdoor, persistente anche dopo il riavvio del dispositivo o a seguito di eventuali aggiornamenti del firmware.

Poiché l’attaccante utilizza funzionalità ufficiali Asus, per aggiungere chiavi SSH pubbliche e aprire la porta non standard TCP 53282, l’aggiornamento del firmware NON rimuove la backdoor.

Dettaglio

Nel dettaglio,l’attaccante, utilizzando un comando di injection volto a sfruttare la CVE-2023-39780, inserisce la propria chiave pubblica SSH nell’apparato.

Successivamente istanzia un demone e lo pone in ascolto sulla porta non-standard TCP 53282.

Sfruttando tale configurazione ed utilizzando tecniche come il brute forcing ed il bypass authentication l’attore malevolo può reinderizzare il traffico del disposito verso altri apparati o rendere lo stesso parte integrante di una botnet.

Prodotti e/o versioni affette

• RT-AC3100
• RT-AC3200
• RT-AX55

Azioni di mitigazione

Asus ha rilasciato un aggiornamento firmware per sanare la vulnerabilità; tuttavia, se un dispositivo è stato compromesso prima dell’aggiornamento, la backdoor potrebbe persistere.

Pertanto si raccomanda di controllare se il servizio SSH è attivo sulla porta TCP/53282 e se sono presenti chiavi pubbliche non autorizzate nel file authorized_keys.

Inoltre si consiglia di valutare la verifica e l’implementazione degli IoC nella propria blocklist, forniti dai ricercatori di sicurezza al link https://www.labs.greynoise.io/grimoire/2025-03-28-ayysshush/ .

Qualora accertata l’eventuale compromissione del dispositivo , si raccomanda di effettuare tempestivamente un reset completo del router e riconfigurare manualmente le impostazioni, evitando il ripristino di backup potenzialmente compromessi.