תוקפים החדירו “דלת אחורית” במעל 9000 נתבי ASUS במתקפה חמקנית ושקטה

30.05.2025, 12:30
לוגו ASUS HQ (צילום: יאן לנגרמן) לוגו ASUS HQ (צילום: יאן לנגרמן)

חברת האבטחה GreyNoise חשפה מתקפה מתוחכמת שקיבלה את השם AyySSHush, המשפיעה על מעל 9,000 נתבי ASUS ברחבי העולם.

המתקפה אפשרה לתוקפים שעדיין לא זוהו ליצור “דלת אחורית” דרך פרוטוקול ה-SSH באופן שמוסתר מהנתבים עצמם וללא השארת עקבות ברורים.

הבעיה הגדולה ביותר במתקפה החדשה היא כי הדלת האחורית שזוהתה לא ניתנת להסרה במידה שהיא כבר נוספה לנתב, כל זאת תוך שימוש בתכונות הלגיטימיות של הנתבים עצמם.

התקיפה התגלתה לראשונה במרץ 2025 על ידי חוקרי GreyNoise, אך הפרסום נדחה כדי לתאם את הממצאים עם גורמי ממשל ותעשייה.

שיטת פעולה מתוחכמת ללא תוכנות זדוניות

בניגוד למתקפות סייבר מסורתיות, מתקפת ה-AyySSHush לא מסתמכת על התקנת תוכנות זדוניות אלא על ניצול תכונות לגיטימיות של הנתבים.

השיטה כוללת הפעלת גישת SSH – פרוטוקול תקשורת מוצפן המאפשר שליטה מרחוק במכשיר – על פורט מותאם אישית (TCP/53282) והחדרת מפתח ציבורי של התוקפים לזיכרון הלא-נדיף (NVRAM) של הנתב.

משמעות הדבר היא שאתחול הנתב או עדכון קושחה לא יפתרו את הבעיה, ולתוקפים עדיין תהיה גישה לנתבים ולרשת.

התקיפה פועלת באמצעות שרשרת מתקפה הכוללת ניסיונות כניסה באמצעות כוח גס, עקיפת אמצעי האימות וניצול חולשת האבטחה CVE-2023-39780 להזרקת פקודות מערכת.

בעוד שהמתקפה זוהתה במעל 9,000 נתבי ASUS, נכון לעכשיו נראה כי מדובר רק בשלב ההכנה הראשוני של מתקפה רחבה יותר.

חוקרי GreyNoise זיהו רק 30 בקשות התחברות לנתבים במהלך השלושה חודשים האחרונים, מה שמעיד על פעילות זהירה וחמקנית.

איך מזהים את המתקפה ומה עושים אחרי?

למרות ש-ASUS פרסמה תיקון לפרצת ה-CVE-2023-39780, שינויי הגדרות ה-SSH נותרים קבועים בזיכרון הנתב, זאת מאחר ושינוי הגדרות אלו מאוחסן בזיכרון הלא-נדיף ולא מוסר באמצעות עדכוני קושחה.

GreyNoise פרסמה מספר המלצות למשתמשים עם נתבי ASUS:

  • בדיקת נתבי ASUS לגישת SSH על פורט TCP/53282
  • סקירת קובץ authorized_keys לזיהוי רשומות לא מורשות
  • חסימת ארבע כתובות IP ספציפיות שזוהו כחלק מהמתקפה
  • ביצוע איפוס מלא למצב מפעל והגדרה מחדש ידנית של הנתב במקרה של חשד לפגיעה

כתובות ה-IP שיש לחסום:

  • 101.99.91.151
  • 101.99.94.173
  • 79.141.163.179
  • 111.90.146.237

מפתח ה-SSH של התוקפים:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

מספר הנתבים הנפגעים ממשיך לגדול, והחוקרים ממליצים למשתמשי נתבי ASUS לבדוק אותם באופן מיידי ולהחיל את ההמלצות המצורפות.

מקור: greynoise, greynoise
השוואת מפרטים
ביטול השוואה