📶 GreyNoise, una firma especialitzada en ciberseguretat, va posar de manifest que com a mínim 3 dispositius diferents de routers ASUS han estat víctimes d'una nova campanya d'intrusió, afectant prop de 9.000 dispositius.
🔁 Segons podem llegir a Xataka, els ciberdelinqüents obtenen un accés inicial al router i aprofiten una vulnerabilitat concreta ja documentada, CVE-2023-39780, per executar ordres arbitràries i modificar la configuració del router des de dins.
🚪 L'objectiu és molt més subtil que instal·lar un virus o un software espia tradicional, el que pretenen és obrir una porta del darrere remota habilitant l'accés SSH en un port específic (TCP/53282) i insertar una clau pública pròpia a la memòria NVRAM. Aquest tipus d'emmagatzematge intern no s'esborra en reiniciar el router ni en actualitzar el seu firmware.
✔️ ASUS ha corregit la vulnerabilitat, però si sospiteu que el vostre router por estar afectat, seguiu aquests consells de GreyNoise:
🔸 Accediu a la configuració del vostre router i verifiqueu si l'accés per SSH està habilitat en el port TCP/53282.
🔸 Reviseu l'arxiu anomenat authorized_keys, ja que podria contenir una clau pública no autoritzada.
🔸 Bloquegeu aquestes adreces IP, associades a la campanya: 101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237.
🔸 Si sospiteu que el vostre dispositiu està afectat, realitzeu un restabliment complet de fàbrica i torneu a configurar-lo manualment.
👉 Us convidem a llegir l'article per saber més sobre aquest atac als routers ASUS: Atac als routers d'ASUS