Proponha uma correção, faça uma sugestão
Milhares de routers ASUS comprometidos por botnet! Saiba os modelos
Milhares de routers wireless da ASUS foram comprometidos por uma botnet sofisticada que também tem como alvo dispositivos de outras marcas, como Cisco, D-Link e Linksys. Saiba quais os modelos afetados.
A campanha, identificada pela empresa de segurança GreyNoise e apelidada de "AyySSHush", explora uma vulnerabilidade conhecida como CVE-2023-39780, permitindo que os atacantes obtenham acesso persistente aos dispositivos, mesmo após atualizações de firmware ou reinicializações.
Como funciona o ataque?
- Os atacantes utilizam técnicas avançadas para comprometer os routers
- Acesso inicial
- Realizam ataques de força bruta e exploram falhas de autenticação para obter acesso não autorizado.
- Execução de comandos
- Exploram a vulnerabilidade CVE-2023-39780 para executar comandos arbitrários no sistema.
- Persistência
- Ativam o acesso SSH num porto lógico não padrão (TCP/53282) e inserem uma chave pública SSH maliciosa na NVRAM, garantindo que o acesso permaneça mesmo após reinicializações ou atualizações de firmware.
- Evasão de deteção
- Desativam os logs do router, dificultando a identificação da intrusão.
Segundo as informações, até 27 de maio de 2025, mais de 9.000 routers ASUS foram comprometidos, com a maioria dos casos afetando modelos como RT-AC3100, RT-AC3200 e RT-AX55.
O que os utilizadores devem fazer?
- Verificar o acesso SSH: Aceder as configurações do router e verificar se o acesso SSH está ativado no porto 53282.
- Rever chaves SSH autorizadas: Procurar por chaves SSH desconhecidas no ficheiro de chaves autorizadas.
- Desativar o SSH: Se encontrar chaves suspeitas, desative o acesso SSH imediatamente.
- Atualizar o firmware: A ASUS lançou uma atualização que corrige a vulnerabilidade CVE-2023-39780 - ver aqui.
- Redefinir para as configurações de fábrica: Reponha as configurações de fábrica do router e reconfigure-o manualmente para garantir a remoção de quaisquer backdoors persistentes.
- Bloquear IPs maliciosos: Considere bloquear os seguintes endereços IP associados aos atacantes:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
Para mais informações, leia o aviso de segurança da ASUS aqui.
Loading ...
O problema destes routers como ASUS, TP-Link são routers muito comuns no mercado e alguns deles até envergonham pela falta de auditórias de segurança anuais aos seus routers.
E alguns até deixam de lançar atualizações pondo em causa a segurança de muitos utilizadores, é grave, gravissimo e há marcas que até nem sabem como resolver e têm conhecimento dos problemas graves e não lançam nenhum patch.
Dai é melhor fugir para os menos usados e que tenham atualizações, é menos um “alvo” a vista de muitos. É o que recomendo, podem vir com aquela treta dos argumentos de “Ahh e tal a ASUS é super reconhecida pelo fabrico de bons componentes e a TP-Link tambem”
Certo, concordo. Mas a segurança deixa a desejar.
Que routers recomendam com bom Firewall e updates? Nada de Xiaomis nem TEMU’s!
GL iNET é uma boa opção.
Segundo o cve o ataque não é nada por aí além, porque obriga a autenticação, por isso se o pessoal tem o remote desligado não existe crise, para os que tem só tem que ter uma password segura/forte mas o melhor é nunca ter um router exposto usem VPN para essas coisas.
Se os IPs designados como pertencentes a atacantes estiverem a ser usados, não acham que seriam demasiados burros se os mantivessem operacionais?
Não seria suposto eles mudarem constantemente para não serem detetados?
Pplware ou alguém aqui do fórum, sabem se os routers Asus com firmware WRT Merlin também estão comprometidos?