Destapan una campaña de ataque contra los routers de Asus. Ya hay más de 9.000 routers afectados y la cifra sigue creciendo

Destapan una campaña de ataque contra los routers de Asus. Ya hay más de 9.000 routers afectados y la cifra sigue creciendo

El grupo de investigadores de ciberseguridad GreyNoise ha descubierto una campaña de acceso no autorizado que afecta a miles de routers Asus. Por el momento se desconoce quién está detrás de los ataques, pero se sabe que están utilizando diversas técnicas para instalar una puerta trasera que deja expuestos a los routers en internet. Y lo peor es que una vez que el router se ha visto comprometido, eliminar la amenaza es más complicado de lo habitual.

Desde el medio especializado Bleeping Computer se han hecho eco del informe publicado por GreyNoise, en el que los investigadores afirman que tuvieron constancia de la campaña a mediados de marzo de este año. El objetivo parece ser la creación de una red de dispositivos con puerta trasera, lo que podría dar lugar al establecimiento de una ‘botnet’. Ya hay más de 9.000 routers afectados y la cifra sigue creciendo.

La puerta trasera no se puede eliminar reiniciando el router

Tras investigar el funcionamiento de la amenaza, GreyNoise ha determinado que los atacantes obtienen acceso a los routers mediante técnicas de fuerza bruta y usando dos técnicas distintas para esquivar la autenticación y aprovechar un exploit conocido (CVE-2023-39780). Una vez en el router habilitan el acceso SSH a través del puerto TCP/53282 e insertan una clave pública para permitir el acceso remoto. La clave se almacena en la memoria NVRAM (no volátil), lo que significa que no desaparece con un reinicio o actualización de software.

La campaña ha llamado la atención de los investigadores por la facilidad con la que puede pasar desapercibida. El motivo es que no se instala ningún tipo de malware el router y se desactiva el registro de datos del mismo, por lo que los atacantes apenas dejan rastro. De hecho, los atacantes utilizan las herramientas nativas del router. En el informe de la amenaza cuentan que la detectaron haciendo uso de una herramienta de análisis de tráfico propia basada en IA, que detectó tres solicitudes sospechosas en la red.

GreyNoise afirma que Asus ha corregido el exploit CVE-2023-39780 en una reciente actualización de firmware. Además, las dos técnicas para esquivar la autenticación de las que hablábamos anteriormente también se habrían corregido, aunque por ahora no se les ha asignado un código de catalogación. El problema es que la actualización del fabricante no elimina la puerta de acceso en caso de que nuestro router ya se haya visto comprometido.

Teniendo en cuenta lo anterior, los investigadores recomiendan revisar con detenimiento la configuración de nuestro router para asegurarnos de que no se ha habilitado el acceso mediante SSH en el puerto 53282. Ademas, aconsejan revisar e archivo ‘authorized_keys’ en busca de claves no autorizadas, así como bloquear las direcciones IP involucradas en la actividad de los atacantes (101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237). Alternativamente, restablecer el router a la configuración de fábrica soluciona el problema.

Imagen de portada | Iván Linares (Xataka Móvil)

En Xataka Móvil | Cuál es la política de los operadores a la hora de cambiar su router por uno neutro

En Xataka Móvil | Qué router WiFi comprar: guía para saber qué modelo elegir

-
La noticia Destapan una campaña de ataque contra los routers de Asus. Ya hay más de 9.000 routers afectados y la cifra sigue creciendo fue publicada originalmente en Xataka Móvil por Sergio Asenjo .