Uma nova botnet chamada AyySSHush comprometeu mais de 9.000 routers ASUS, instalando um backdoor via SSH que sobrevive a reinicializações e até a actualizações de firmware. E embora o principal alvo sejam routers da Asus, a campanha de ataque também afecta routers domésticos de outras marcas, como a D-Link, Linksys, e Cisco.
Descoberta em Março de 2025 por investigadores de segurança, a campanha utiliza ataques que recorrem a força bruta, falhas de autenticação e explorações de vulnerabilidades antigas como a CVE-2023-39780. Uma vez dentro do sistema, os atacantes adicionam uma chave SSH e reconfiguram o router para escutar numa porta específica (53282), garantindo acesso permanente, mesmo em caso de reboots. O ataque é particularmente discreto, desactivando os registos do sistema e a protecção AiProtection, para tentar passar despercebido e dificultar a detecção por parte dos utilizadores. Mais preocupante é que o backdoor permanece activo mesmo após uma actualização de firmware, a menos que se faça um "reset de fábrica" que elimine todas as configurações gravadas.
A ASUS já disponibilizou actualizações de segurança, mas é necessário intervenção do utilizador. Para se protegerem, os utilizadores devem actualizar o firmware, verificar a presença de chaves SSH suspeitas, e bloquear os IPs associados ao ataque (101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237). Se houver suspeitas de comprometimento, a melhor solução é restaurar o router para as definições de fábrica e configurá-lo novamente com uma password segura.
Sem comentários:
Enviar um comentário (problemas a comentar?)