Milhares de roteadores Asus acessíveis pela internet foram comprometidos por invasores que implantaram backdoors por meio de ataques de força bruta e falhas de autenticação, segundo publicação da GreyNoise.
Leia também
Servidor expõe instalações nucleares bélicas
Reino Unido anuncia comando cibernético e eletromagnético
Os invasores exploraram uma técnica sem CVE divulgada para contornar a autenticação dos dispositivos e, uma vez com acesso, utilizaram a falha CVE-2023-39780 para injeção de comandos. Em seguida, ativaram o acesso SSH em uma porta personalizada (TCP/53282) e adicionaram uma chave pública ao arquivo authorized_keys, permitindo controle remoto persistente.
De acordo com os pesquisadores, o backdoor é armazenado na memória não volátil (NVRAM), o que o torna resistente a reinicializações e atualizações de firmware. O sistema de registro dos roteadores é desativado pelos invasores para dificultar a detecção. A GreyNoise estima que cerca de nove mil dispositivos foram comprometidos.
A recomendação para os usuários afetados é verificar manualmente a existência de conexões SSH não autorizadas e redefinir o roteador para os padrões de fábrica, seguido de reconfiguração cuidadosa. Caso a infecção tenha ocorrido antes da atualização de segurança, o backdoor pode continuar ativo mesmo após a aplicação do novo firmware.
