Conforme publicado pelo Tom’s Hardware na última quinta-feira (29), uma campanha de ciberataques altamente sofisticada comprometeu mais de 9.000 roteadores da ASUS em todo o mundo, implantando backdoors SSH persistentes que sobrevivem a atualizações de firmware e reinicializações.
Identificada pela empresa de segurança GreyNoise, a operação, apelidada de “AyySSHush”, explora vulnerabilidades conhecidas e técnicas de autenticação para obter acesso remoto permanente aos dispositivos.
- O monitor mais rápido do mundo: ASUS inova com 0,1 ms de resposta e 610Hz
- Nova fonte ASUS PRO WS é tão potente que sua casa pode não suportar
Como o ataque funciona
Os invasores utilizam uma combinação de ataques de força bruta e falhas de autenticação para acessar os roteadores. Em seguida, exploram a vulnerabilidade de injeção de comandos CVE-2023-39780 para executar comandos arbitrários no sistema.
A persistência é alcançada ao habilitar o acesso SSH em uma porta personalizada (TCP/53282) e inserir uma chave pública controlada pelo invasor no arquivo authorized_keys. Essas configurações são armazenadas na memória não volátil (NVRAM) do roteador, permitindo que o backdoor persista mesmo após atualizações de firmware ou reinicializações do dispositivo.
Para evitar a detecção, os atacantes desativam os logs do sistema e recursos de segurança como o AiProtection da Trend Micro. Além disso, não instalam malware tradicional, tornando a identificação da intrusão ainda mais difícil.
Modelos afetados e abrangência
Os modelos de roteadores ASUS afetados incluem, mas não se limitam a, RT-AC3100, RT-AC3200 e RT-AX55. A campanha tem alcance global, com a maioria dos dispositivos comprometidos localizados em redes domésticas e de pequenas empresas.
A GreyNoise detectou apenas 30 solicitações maliciosas relacionadas a essa campanha nos últimos três meses, destacando a natureza furtiva do ataque.
Medidas de mitigação
A ASUS lançou uma atualização de firmware para corrigir a vulnerabilidade CVE-2023-39780. No entanto, se o roteador já tiver sido comprometido antes da atualização, o backdoor SSH persistirá. Para mitigar o risco, os usuários devem:
Verificar se o acesso SSH está habilitado na porta TCP/53282.
Revisar o arquivo authorized_keys para identificar chaves SSH não autorizadas.
Bloquear os seguintes endereços IP maliciosos:
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
Realizar um reset de fábrica completo no roteador e reconfigurá-lo manualmente.