Äldre Asus-routrar måltavla för virus

Ett tag sedan, men ingen vet när det började attackera produkter från Asus. Däremot så "dödar" det inte routrar, utan det är utvecklat för att bygga ett botnet, så det är nog något annat som orsakade att din router dog.

Trevligt att du tycker det, men nu är det som så att ingen vet hur den här internetmasken infekterar routrar. Asus har bara gett ut generella råd, som dom hoppas ska skydda deras kunder, men det finns inga garantier för att det ska hjälpa. Trend Micro som hittade internetmasken på andra produkter vet inte hur dom blev infekterade heller, vilket du kan läsa om på länken i artikeln.

Prova 192.168.0.1 eller 192.168.1.1 eller 192.168.50.1 och se om någon av dessa fungerar, annars är du nog inte på samma nät som din router 🤔

Den skulle duga fint som AiMesh, eftersom den inte är ansluten direkt till internet längre i det läget.

Det är nog bara en modell dom har glömt bort i listan, eftersom Asus inte har uppdaterat mjukvaran för den på över ett år.

Kan ju ligga på 10.x.x.x också, beror på vad man har för subnet hemma.
https://en.wikipedia.org/wiki/Private_network

Hmm. AC68U. Lite oklart för mig vilken version som innebär att man är skyddad. Så om jag har xxx.386.nånting så är jag safe? Versionerna 385 och tidigare är icke-safe?

Uppgraderade senast för drygt ett halvår sedan (Merlin), och det har ju kommit nya sen dess. Men för just denna masken är jag safe iom den firmware jag har? Rätt tolkat?

Tyvärr ingen version. Rådet är att uppdatera till den senaste, men eftersom ingen riktigt vet hur masken tar sig in till att börja med, så finns det inget fullgott skydd, bara förslag på vad man bör göra för att skydda dig så mycket som det går i dagsläget. Så installera den senaste versionen som finns och håll tummarna tills någon klurar ut en bättre lösning.

Ah, så sant så. Blev nog lite kategoriskt uttryckt från min sida

Stod att jag var up to date... får kolla manuellt kanske.

https://layer8.se/sv/ är en som Netgate hänvisar till iaf

Öppna CMD och skriv ”ipconfig /all” där du ser standard gateway är en ip-adress, det är din routers adress.

Knappa in den i webbläsaren och bam!, inloggningsrutan visas 🙂👍🏼

Ja, det är olyckligt att det framställs som att man är skyddad bara för att man följer råden för så verkar ju inte alls vara fallet.

Har för övrigt reagerat på att jag senaste månaderna fått ett ganska stort antal CAPTCHA-spärrar på sidor av typen "We've detected unusual traffic from your network ... yada yada" som jag inte riktigt kan hitta någon förklaring till och inte kan minnas att jag fått tidigare. Ingen aning om det kan ha något samband men det är ju inte utan att man blir lite fundersam

Är denna routern en del av attacken?

ASUS RT-AC66U B1 AiMesh AC1750
https://www.inet.se/produkt/5420049/asus-rt-ac66u-b1-aimesh-a...

Detta är alltså bara ett exempel på router du kan köpa i butik än idag.

Hur ser det ut med Asus nyare routers? Jag tänker på serien Asus RT-AX**U osv? Det är väl Asus lite nyare WiFi 6 routers? Är de ok?

Aj då. Sitter på en RT-AC56U med Merlin 384.6.

Vill ju inte skaffa ny än, väntar på Synology RT6600ax.

I dagsläget verkar det som om dom har klarat sig undan, men som jag skrev i slutet av nyheten, så förväntar sig Trend Micro att flera andra routrar lär bli måltavlor i framtiden, men i dagsläget verkar dom inte vara i riskzonen.
Eftersom ingen verkar ha klurat ut den exakta attackvektorn är det för tidigt att säga om en viss produkt kan eller inte kan bli en måltavla. Är det så att gruppen bakom masken har hittat ett begränsat säkerhetshål dom använder sig av, så är ju chansen mindre att andra produkter ligger i riskzonen mycket mindre.

Alla dom berörda modellerna verkar ha en SoC från Broadcom, eftersom det är företaget Asus jobbar mest med när det kommer till routerhårdvara och det kan ju vara därför som vissa andra modeller med t.e.x. hårdvara från MediaTek inte är med på listan, fastän dom är Wifi 5 modeller.

Broadcom har haft några säkerhetshål i deras stängda mjukvara som routertillverkarna bygger sina produkter runt och det här kan ju vara en hitintills okänd sådan som någon har klurat ut och använder sig av. Det är dock inte unikt till Broadcom, men eftersom dom är en av dom mer populära tillverkarna av kretsar till routrar, så är också produkter baserade på deras kretsar en större måltavla.

Merlin har ju lite mer fixar och uppdateringar än Asus egna firmware, men det är inte säkert att det gör någon skillnad i det här fallet. Han verkar iallafall inte ha klurat ut hur gruppen bakom masken tar sig in, baserat på hans inlägg på Small Net Builders forum. Han hade säkert tagit ett snack med Asus om han hade lyckats göra det dessutom.

Det är ju inte riktigt första gången Asus nämns i såna här sammanhang

I USA blev de satta under övervakning i 20 år för att de hanterat kundernas säkerhet så uselt (aiCloud), förbjudits att ge missledande information om produkternas säkerhet och uppdateringsstatus och tvingade att informera kunder om säkerhetsbrister.
https://www.ftc.gov/news-events/news/press-releases/2016/02/a...

Har själv en AC66U, den får nöja sig med att vara AP tills den dör.

Du kan även testa password som lösenord.

Har samma router som dig och än så länge tuffar den på, peppar peppar ta i trä!

Du har inte en klisterlapp på baksidan av routern där det står? Den borde vara ny nog för att ha det.

Det hade funkat om ac87 hade haft stöd för Mesh men nu har den inte det 🙁

Däremot kollar jag lite på om jag ska skaffa en Ubiquiti Edge router och låta min ac87 bara agera AP. Men Edge finns inte i lager någonstans.

Det kanske får bli en TUF AX5400 ändå.

Läst igenom alla fyra sidor av kommentarer och vet fortfarande inte om jag är relativt safe eller om jag bör köpa ny router omgående.

Jag har en RT-AC86U, som finns med på listan.
-Remote Access är OFF och har alltid varit det
-Firmware är uppdaterat till senaste, kör ej Merlin
-Username och Password är ändrat när jag köpte den
-Routern används inte som Mesh, körs alltså som en vanlig router ansluten mot nätet

Ska jag tolka det rätt att även om ovan är gjort så vet man fortfarande inte om jag kan bli utsatt eller kan man säga att jag är väldigt safe?
Eller ska jag genast leta ny router?

Det vet inte Asus, Trend Micro eller Merlin heller, så det är i dagsläget lite svårt att säga.
Som jag läser det hela och som jag har skrivit tidigare här, så finns det en risk, men risken verkar inte vara så stor för ägaren av routern att råka ut för något, utan att routern kommer att användas som en del av ett botnet.

Innan mer information finns, så tror jag inte man behöver få panik, utan bara hålla koll på utvecklingen.

Ah, ok, visste inte att den modellen saknade det.