Aanvallers zijn erin geslaagd om duizenden online toegankelijke Asus-routers van een backdoor te voorzien. Daarbij is gebruikgemaakt van bruteforce-aanvallen en twee technieken om de authenticatie te omzeilen. Dat laat securitybedrijf GreyNoise weten. Deze "authentication bypass" technieken hebben geen CVE-nummer toegewezen gekregen, maar zijn wel door Asus gepatcht.

Zodra de aanvallers toegang tot een router hebben maken ze gebruik van een oude kwetsbaarheid aangeduid als CVE-2023-39780 die command injection mogelijk maakt. Op deze manier kunnen de aanvallers systeemcommando's uitvoeren. De aanvallers gebruiken ook features van de router zelf om toegang te behouden. Zo wordt SSH-toegang op een custom port (TCP/53282) ingeschakeld, alsmede een public key toegevoegd voor remote toegang.

"De backdoor wordt opgeslagen in non-volatile memory (NVRAM) en daarom niet verwijderd tijdens firmware-upgrades of reboots", aldus GreyNoise. De onderzoekers merken op dat de aanvallers geen malware installeren. Wel schakelen de aanvallers logging uit om detectie te voorkomen. Op basis van de gebruikte technieken denken de onderzoekers dat er sprake is van een langetermijnplan en beschikken de aanvallers over uitgebreide kennis van de routers. Volgens GreyNoise zijn bijna negenduizend Asus-routers gecompromitteerd.

Eigenaren van een Asus-router worden opgeroepen om te controleren op SSH-toegang op port TCP/53282, alsmede het authorized_keys bestand op ongeautoriseerde toevoegingen. Verder wordt aangeraden om een aantal ip-adressen van de aanvallers te blokkeren. In het geval van een gecompromitteerde router wordt aangeraden om een fabrieksreset uit te voeren en daarna handmatig de configuratie aan te passen. "Als een router was gecompromitteerd voor het updaten zal de backdoor nog steeds aanwezig zijn tenzij SSH-toegang expliciet is gecontroleerd en verwijderd", aldus de onderzoekers.