В хиляди рутери на Asus е открита скрита задна вратичка
Хиляди рутери на Asus за дома и дребния офис са изложени на риск да бъдат инфектирани заради съществуването на скрита задна малка врата, която може да оцелее даже след рестартиране и актуализации на фърмуера. Атаки на това равнище могат да бъдат осъществени от киберпрестъпници със обилни запаси, в това число от такива с държавна поддръжка. Проблемът е открит от специалисти на GreyNoise, компания, профилирана в региона на киберсигурността.
Нападателите са получили достъп до устройства посредством потребление на уязвимости, някои от които в никакъв случай не са били въвеждани в системата CVE. След като получи неоторизиран административен достъп до хардуера, киберпрестъпникът конфигурира обществено наличен ключ за криптиране, с цел да влезе в устройството – по-късно всеки, който има частния ключ може автоматизирано да влезе в устройството с администраторски права. Задната малка врата остава в системата след рестартиране и актуализации на фърмуера, което дава на нападателя дълготраен надзор върху компрометирания хардуер – не е належащо да изтегля злотворен програмен продукт и да оставя следи по веригата, с цел да заобиколи удостоверяването, да употребява известни уязвимости и да злоупотребява с законни функционалности за настройване.
Експертите на GreyNoise са разкрили към 9000 устройства по света с тази задна малка врата, като броят им продължава да пораства. Досега няма данни тези устройства да са били употребявани в някакви акции.
Вероятно в този момент нападателите натрупат запаси за бъдеща приложимост. GreyNoise е разкрила систематичната активност в средата на март и не е направила случая обществен, до момента в който не е уведомила управляващите. Това може да значи, че зад хакерската група стои държавен запас.
Смята се, че дейностите, открити от GreyNoise са част от акция, разпозната от специалистите на Sekoia – благодарение на сканиране на Censys те са открили, че към 9500 рутера Asus са били компрометирани от незнайни лица. За инсталирането на задната врата са употребявани няколко уязвимости. Една от тях, CVE-2013-39780 разрешава осъществяването на систематични команди и Asus я в профил в неотдавнашна актуализация на фърмуера. Други уязвимости също бяха отстранени, само че по някаква причина не бяха включени в базата данни CVE.
Единственият метод да разберете дали устройството ви е инфектирано, е да ревизирате SSH настройките в конфигурационния панел.
Заразените екземпляри разрешават SSH връзки през порт 53282 с дигитален документ, чийто скъсен ключ наподобява като „ ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ “. За хакването свидетелства съществуването на следните адреси в дневника за вход: 101.99.91.151, 101.99.94.173, 79.141.163.179 или 111.90.146.237. На притежателите на рутери от всички производители се предлага навреме да актуализират софтуера си.
