ASUS erhielt vor einigen Tagen unangenehme Nachrichten , die einige Router des Unternehmens betrafen: Laut einer Untersuchung von Sicherheitsforschern wurden mehr als 9000 ASUS-Router von raffinierten Angreifern über ein Botnetz infiltriert, die eine Sicherheitslücke ausnutzten, um eine versteckte Hintertür auf den Routern zu öffnen.
Das Eindringen wurde durch einen Brute-Force-Angriff erreicht, bei dem möglicherweise vorkompilierte Wörterbücher verwendet wurden, um gängige Benutzername-Passwort-Paare auszuprobieren. War der Angriff erfolgreich, wurde die Schwachstelle CVE-2023-39780 ausgenutzt, um den SSH-Zugang über einen bestimmten Port, in der Regel TCP-Port 53282, zu ermöglichen. Sobald dies geschehen war, wurde ein öffentlicher Schlüssel hochgeladen, der es dem Angreifer ermöglichte, den Router fernzusteuern. Der Angriff wurde so konzipiert, dass NVRAM genutzt wurde, um eine Umgebung zu schaffen, die nicht durch eine Aktualisierung der Firmware oder einen Neustart des Routers behoben werden konnte - nur ein Zurücksetzen auf die Werkseinstellungen würde es ermöglichen, den bösartigen Code aus dem NVRAM zu entfernen.
Zu diesem Zeitpunkt war nicht klar, welche Router genau betroffen waren, und das Modell RT-AX55 wurde nur durch die Aufnahme seiner Modellnummer in den oben erwähnten CVE-Eintrag als betroffen erkannt. Die gehackten Router wurden dann in ein so genanntes "AyySSHush"-Netzwerk gepackt, das jedoch mit nur 30 Anfragen in drei Monaten nicht sehr aktiv war.
ASUS hat vor kurzem auf die Situation reagiert und versucht, die Besitzer der möglicherweise betroffenen Router zu beruhigen. Nach Angaben des Unternehmens ist ein Software-Update zur Behebung der Schwachstelle bereits für alle Router verfügbar, die noch nicht das End-of-Life (EOL) erreicht haben, daher wird empfohlen, die neueste Firmware für diese Router zu erwerben. Dadurch werden Router, die noch nicht betroffen sind, geschützt, aber für betroffene Router sind zusätzliche Schritte erforderlich. Überprüfen Sie, ob der oben erwähnte TCP-Port offen ist und ob Sie in der Protokolldatei Anzeichen für einen Hackerangriff finden oder einen SSH-Schlüssel, der nicht im System vorhanden sein sollte. Wenn diese Fragen bejaht werden, sollte der Router nach der Aktualisierung der Firmware auf die Werkseinstellungen zurückgesetzt und die Web-Benutzeroberfläche mit einem starken Passwort geschützt werden.
Bei Routern, die nicht mehr offiziell unterstützt werden, sollten Sie außerdem die Fernzugriffsfunktionen wie SSH, DDNS, AiCloud und den Zugriff auf die Web-Benutzeroberfläche über das Internet deaktivieren und alle offenen TCP-Ports 53282 schließen. Diese letzte Maßnahme kann auch eine praktikable Option für diejenigen sein, die den Router nach der Aktualisierung der Firmware nicht auf die Werkseinstellungen zurücksetzen möchten. Der Vorfall selbst wurde von GreyNoise mit seiner KI-basierten Sicherheitsüberwachungssoftware Sift bereits im März entdeckt und der Hersteller wurde benachrichtigt. Censys schätzt, dass mindestens 9.000 Router betroffen sind. Das ist die Anzahl der Router, die gehackt wurden, aber zum Zeitpunkt der Erstellung dieses Artikels liegt die Zahl bei über 9.500.
Das ASUS-Team hat bereits eine Benachrichtigung an potenziell betroffene Nutzer verschickt, damit diese ihre Router-Firmware sofort aktualisieren. Der Hersteller hat außerdem bestätigt, dass er bereits vor dem Bericht von GreyNoise damit begonnen hat, sich gegen die oben erwähnte bekannte Sicherheitslücke zu schützen, was bedeutet, dass nicht nur der RT-AX55-Router, sondern auch andere Produkte über Patches verfügen, was definitiv eine gute Nachricht ist.
Es lohnt sich also, die Software aller ASUS-Router zu aktualisieren - nicht nur jetzt, sondern generell, und es lohnt sich, das Gleiche für andere Produkte anderer Hersteller zu tun, da die aktualisierte Software in der Regel alle notwendigen Sicherheitspatches enthält.
