Ботнет AyySSHush внедряет скрытые бэкдоры в роутеры ASUS через уязвимости

Механика атаки

На первом этапе хакеры получают привилегированный доступ к роутеру через уязвимость обхода аутентификации, используя нулевой байт (0x00) в куки asus_token= для срыва проверок. Затем через команду touch /tmp/BWSQL_LOG активируют уязвимый компонент BWDPI встроенного ПО TrendMicro, что открывает путь для инъекции команд. Финальный этап — настройка скрытого SSH-доступа через официальный интерфейс ASUS. Злоумышленники привязывают сервис к порту TCP/53282 и добавляют свой открытый ключ:

Ключевая опасность

Бэкдор сохраняется после обновления прошивки, так как использует легальные настройки ASUS. GreyNoise подтвердила наличие ключа на 4 853 зараженных устройствах через сканирование с утилитой sshamble. Активные IP-злоумышленников: 79.141.163.179, 111.90.146.237, 101.99.94.173, 101.99.91.151.

Неудачные попытки исправления:

ASUS выпустила патч для CVE-2023-39780 (инъекция в oauth_google_refresh_token), но анализ прошивки FW_RT_AX55_300438652332 выявил неполноту фикса. Новая функция is_valid_oauth_code() фильтрует ввод, но разрешает опасные символы (/, &, '), а использование snprintf с лимитом 1024 байта приводит к усечению данных и ошибкам оболочки.

Эксперты GreyNoise подчеркивают: атака демонстрирует растущую тенденцию эксплуатации легитимных функций оборудования для создания неуязвимых бэкдоров. Владельцам ASUS-роутеров критически необходим мониторинг нестандартных конфигураций SSH.

IPv4

• 101.99.91.151
• 101.99.94.173
• 111.90.146.237
• 79.141.163.179