ASUS trả lời lo ngại hơn 9.000 bộ định tuyến bị xâm phạm bởi botnet - Cập nhật chương trình cơ sở và thiết lập lại nhà máy có thể thanh lọc các bộ định tuyến của cửa hậu tiếp tục

Asus đã phát đi nhiều thông báo về một cuộc tấn công botnet nổi bật, đã lây nhiễm hơn 9.000 router. Botnet AyySSHush lây nhiễm thông qua tấn công brute-force và vượt qua xác thực, ẩn cửa hậu trong bộ nhớ không bay hơi để tránh bị phát hiện qua cập nhật firmware. Trong một tuyên bố chính thức, Asus cho biết các lỗ hổng có thể được ngăn chặn cho những router chưa bị lây nhiễm và có thể được khắc phục cho những router đã bị xâm nhập.

Các tác nhân độc hại lợi dụng lỗ hổng tiêm lệnh CVE-2023-39780 để kích hoạt truy cập SSH trên cổng TCP53282 và chèn khóa công khai do kẻ tấn công kiểm soát để truy cập từ xa. Lỗ hổng này đã được sửa trong bản cập nhật firmware mới nhất của Asus, do đó Asus khuyên tất cả người dùng router của mình nên cập nhật firmware. Sau đó, Asus khuyên nên đặt lại về cài đặt gốc và thêm một mật khẩu quản trị viên mạnh.

Asus khuyên những người dùng có router đã hết hỗ trợ, hoặc những ai am hiểu công nghệ và không muốn khôi phục cài đặt gốc, nên tắt tất cả các tính năng truy cập từ xa như SSH, DDNS, AiCloud, hoặc Web Access từ WAN, và đảm bảo rằng cổng TCP 53282 của SSH không bị lộ ra Internet.

Asus vừa ra mắt bộ định tuyến chơi game ROG Wi-Fi 7 mới với chín cổng 2.5G. Botnet AyySSHush được công ty bảo mật GreyNoise phát hiện lần đầu vào tháng 3 và công bố vào tháng 5 thông qua công nghệ giám sát AI của họ. GreyNoise đánh giá những kẻ tấn công đứng sau botnet này là đối thủ có tiềm lực và khả năng cao, nhưng không đưa ra cáo buộc cụ thể về danh tính của họ.

Một tìm kiếm trên Censys cho thấy có hơn 9,500 bộ định tuyến bị ảnh hưởng. Đến thời điểm hiện tại, hoạt động từ botnet này vẫn rất hạn chế, chỉ ghi nhận 30 yêu cầu liên quan trong ba tháng. Asus cũng cho biết đã gửi thông báo đẩy đến người dùng để cảnh báo họ cập nhật firmware khi lỗ hổng này trở nên phổ biến.

Người dùng có thể truy cập các tài nguyên như trang tư vấn bảo mật sản phẩm của Asus và bài viết cập nhật trong cơ sở kiến thức về lỗ hổng này. Asus cho biết họ đã làm việc để cập nhật firmware cho các mẫu sản phẩm, bao gồm cả router RT-AX55, trước khi báo cáo của GreyNoise được công bố nhằm bảo vệ khỏi lỗ hổng này. Điều này quan trọng vì báo cáo CVE-2023-39780 cho thấy Asus đã biết về lỗ hổng trước khi báo cáo GreyNoise được phát hành.

Người dùng router Asus nên kiểm tra xem SSH của họ có bị lộ ra internet hay không, và xem nhật ký router để phát hiện các lần đăng nhập thất bại hoặc khóa SSH lạ, cho thấy có thể đã bị tấn công brute-force. Việc để router tiếp xúc với internet có thể dẫn đến rủi ro lớn, và hầu hết các router bị nhiễm botnet thường hoạt động trong điều kiện rất dễ bị tấn công do người dùng.

Vẫn như mọi vấn đề an ninh mạng, tốt hơn hết là nên cẩn thận và đảm bảo rằng router cùng các thiết bị kết nối mạng khác đang sử dụng firmware hiện đại. Hãy theo dõi Toms Hardware trên Google News để nhận tin tức, phân tích và đánh giá mới nhất. Đừng quên nhấn nút Theo dõi.

Nguồn: www.tomshardware.com/tech-industry/cyber-security/asus-responds-to-concerns-over-9-000-routers-compromised-by-botnet-firmware-updates-and-factory-reset-can-purge-routers-of-persistent-backdoor