ASUS heeft officieel gereageerd op nieuws over een botnet dat duizenden routers van het merk heeft geïnfecteerd. Het bedrijf benadrukt dat bestaande kwetsbaarheden kunnen worden opgelost, maar erkent dat een firmware-update alleen niet altijd volstaat.
Het bedrijf heeft een uitgebreide reactie verzonden over de zogeheten AyySSHush-malware. Het is een bijzonder hardnekkig stukje malafide software: het overleeft niet alleen reboots, maar ook firmware-updates.
Kwetsbaarheid uit 2023
Het probleem draait om CVE-2023-39780, een kwetsbaarheid die al in 2023 bekend werd gemaakt. Volgens ASUS kunnen apparaten met de nieuwste firmware en een sterk administrator-wachtwoord toekomstige exploitatie van deze kwetsbaarheid voorkomen. Het bedrijfraadt wachtwoorden aan van minimaal 10 tekens met een mix van hoofdletters, kleine letters, cijfers en symbolen.
Voor apparaten die mogelijk zijn gecompromitteerd, stelt ASUS een driestappenplan voor. Eerst moet de firmware worden geüpdatet naar de nieuwste versie. Vervolgens is een fabrieksreset nodig om ongeautoriseerde instellingen te wissen. Tot slot moet een sterk administrator-wachtwoord worden ingesteld.
End-of-Life apparaten
Ook voor verouderde routers die geen firmware-updates meer ontvangen, biedt ASUS een oplossing. Gebruikers moeten de laatst beschikbare firmware installeren en een sterk wachtwoord instellen. Daarnaast moeten alle remote access-functies worden uitgeschakeld, zoals SSH, DDNS, AiCloud en Web Access from WAN.
Het bedrijf suggereert gebruikers zelf te controleren op verdachte activiteit. Specifiek moet worden gecontroleerd of SSH (vooral TCP-poort 53282) niet is blootgesteld aan internet. Ook kunnen gebruikers het System Log bekijken voor herhaalde inlogfalen of vreemde SSH-sleutels.
Hardnekkige malware
De AyySSHush-malware maakt zoals gezegd gebruik van een bekende kwetsbaarheid in ASUS-routers en zwakke wachtwoorden voor initiële toegang. Enkel een combinatie van beide levert voor kwaadwillenden succes op. Eenmaal binnen omzeilt het de ingebouwde AiProtection-beveiliging van Trend Micro en verblijft het op hardnekkige wijze op de router.
Onderzoekers van Greynoise (die de naam AyySSHush verzonnen) ontdekten dat de malware instellingen wijzigt voor blijvende SSH-toegang; vandaar de naam. Deze aanpassing wordt opgeslagen in niet-vluchtig geheugen (NVRAM), waardoor het zelfs bij firmware-updates en herstarts actief blijft. Daarom volstaat een gewone update niet en is een volledige fabrieksreset noodzakelijk.
Het aantal geïnfecteerde routers is gedaald van een piek van 12.000 naar ongeveer 8.500 apparaten, blijkt uit recente tellingen. ASUS heeft firmware-updates en beveiligingsaanbevelingen uitgebracht voor ondersteunde modellen en raadt gebruikers aan contact op te nemen met de klantenservice voor verdere assistentie.