Скрытая задняя дверь находится в тысячах маршрутизаторов Asus
Тысячи ASU и небольших офисных маршрутизаторов подвергаются риску заражения из -за скрытой задней двери, которая может выжить даже после перезапуска и обновлений прошивки. Атаки на этом уровне могут проводиться киберпреступниками со значительными ресурсами, в том числе государственной поддержкой. Проблема была обнаружена экспертами Greynoise, компанией, специализирующейся на кибербезопасности.
Злоумышленники получили доступ к устройствам, используя уязвимости, некоторые из которых никогда не были представлены в систему CVE. После получения несанкционированного административного доступа к аппаратному обеспечению, киберпреступник устанавливает общедоступный ключ шифрования для ввода устройства — тогда любой, кто владеет частным ключом, может автоматически ввести правильное устройство администратора. Задняя дверь остается в системе после перезапуска и обновлений в прошивке, что дает злоумышленнику длительное управление над скомпрометированным оборудованием — нет необходимости загружать вредоносное ПО и оставлять следы вдоль цепочки, чтобы обойти сертификат, использовать некоторую конфигурацию уязвимости и злоупотребления.
Эксперты по борьбе с Greynoise обнаружили около 9 000 устройств по всему миру с этой задней дверью, и их число продолжает расти. До сих пор нет никаких доказательств того, что эти устройства использовались в некоторых кампаниях.
Вероятно, теперь злоумышленники получают ресурсы для будущего использования. Greynoise открыла системную деятельность в середине марта и не обнародовал инцидент до тех пор, пока не уведомил власти. Это может означать, что за хакерской группой находится государственный ресурс.
Считается, что мероприятия, найденные Greynoise, являются частью кампании, выявленной экспертами Sekoia — с помощью сканирования CENSYS они обнаружили, что около 9500 маршрутизаторов Asus были скомпрометированы неизвестными лицами. Несколько уязвимостей были использованы для установки задней двери. Один из них, CVE-2013-39780, позволяет выполнять системные команды, а ASUS удаляет его в недавнем обновлении прошивки. Другие уязвимости также были устранены, но по какой -то причине они не были включены в базу данных CVE.
Единственный способ выяснить, заражено ли ваше устройство, — это проверить настройки SSH на панели конфигурации.
Инфицированные образцы разрешают соединения SSH через порт 53282 с цифровым сертификатом, чей сокращенный ключ выглядит как «SSH-RSA AAAAB3NZAC1YC2EAAAAAAAAAAAO41NBOVFFJ4HLVMGV+YPSMDRMLBDZ». Взлом подтверждается наличием следующих адресов в журнале журнала: 101.99.91.151, 101.99.94.173, 79.141.163.179 или 111.90.146.237. Владельцам маршрутизаторов от всех производителей рекомендуется своевременно обновлять свое программное обеспечение.
