Säkerhetsfirman Greynoise har spårat en ny hemlighetsfull kampanj där en okänd aktör tar över och installerar bakdörrar på Asus-routrar med äldre firmware-versioner.
Hackarna utnyttjar flera säkerhetsbrister som Asus har fixat i senaste mjukvaran, inklusive några som av någon anledning aldrig har fått CVE-beteckningar. En av buggarna som utnyttjas är CVE-2023-39780, som gör det möjligt att köra kommandon med systembehörighet.
På drabbade enheter installerar hackarna en permanent bakdörr som när den är på plats varken försvinner efter omstart eller uppdatering till senaste mjukvara där säkerhetsbristerna är fixade. Bakdörren använder nämligen ingen ny mjukvara utan består helt enkelt i att hackarna aktiverar SSH-åtkomst för root-kontot på en ovanlig port (53282) och lägger till sin egen RSA-nyckel för att kunna logga in utan lösenord. För att undgå upptäckt stänger hackarna även av loggning i routern.
Drabbade användare kan nollställa routern eller manuellt stänga av SSH-åtkomst och radera nyckeln, så det handlar inte om något avancerat rootkit eller liknande. Men hackets enkelhet och det faktum att hackarna enbart använder inbyggda funktioner är också en del i hur de undviker upptäckt. De installerar ingen skadlig kod och verkar ännu inte ha utnyttjat routrarna till något, vilket får Greynoise att spekulera att det handlar om en långsiktig plan att bygga upp kapacitet.
Även säkerhetsfirman Sekoia har spårat hacket, och data från Censys visar omkring 9 500 routrar runt om i världen som har hackats i kampanjen.
