Asus adviseert duizenden eigenaren van een gecompromitteerde router om een fabrieksreset uit te voeren en vervolgens een adminwachtwoord van minimaal tien karakters in te stellen. Dat is de enige methode om een SSH-backdoor die de aanvallers toevoegden te verwijderen. Vorige week meldde securitybedrijf GreyNoise dat aanvallers aan zo'n negenduizend Asus-routers een SSH-backdoor hadden toegevoegd. Specifiek werd SSH-toegang op een custom port (TCP/53282) ingeschakeld, alsmede een public key toegevoegd voor remote toegang.

"De backdoor wordt opgeslagen in non-volatile memory (NVRAM) en daarom niet verwijderd tijdens firmware-upgrades of reboots", aldus GreyNoise. Bij de aanval werd gebruikgemaakt van een oudere kwetsbaarheid aangeduid als CVE-2023-39780, die command injection mogelijk maakt. GreyNoise adviseerde bij getroffen routers het uitvoeren van een fabrieksreset. Dat advies wordt nu door Asus tegenover PCMag herhaald. Daarnaast wordt geadviseerd om een adminwachtwoord van minstens tien karakters te gebruiken.

Verder laat de routerfabrikant weten dat apparaten die end-of-life zijn en geen beveiligingsupdates meer ontvangen nog "steeds veilig te gebruiken zijn". Wel wordt aangeraden de laatste firmware te gebruiken, een sterk wachtwoord in te stellen en alle remote toegangsfeatures, zoals SSH, DDNS, AiCloud, of Web Access, vanaf het WAN uit te schakelen.

Update