Milhares de routers wireless da ASUS foram comprometidos por uma botnet sofisticada que também tem como alvo dispositivos de outras marcas, como Cisco, D-Link e Linksys. Saiba quais os modelos afetados.
A campanha, identificada pela empresa de segurança GreyNoise e apelidada de “AyySSHush”, explora uma vulnerabilidade conhecida como CVE-2023-39780, permitindo que os atacantes obtenham acesso persistente aos dispositivos, mesmo após atualizações de firmware ou reinicializações.
Como funciona o ataque?
- Os atacantes utilizam técnicas avançadas para comprometer os routers
- Acesso inicial
- Realizam ataques de força bruta e exploram falhas de autenticação para obter acesso não autorizado.
- Execução de comandos
- Exploram a vulnerabilidade CVE-2023-39780 para executar comandos arbitrários no sistema.
- Persistência
- Ativam o acesso SSH num porto lógico não padrão (TCP/53282) e inserem uma chave pública SSH maliciosa na NVRAM, garantindo que o acesso permaneça mesmo após reinicializações ou atualizações de firmware.
- Evasão de deteção
- Desativam os logs do router, dificultando a identificação da intrusão.
Segundo as informações, até 27 de maio de 2025, mais de 9.000 routers ASUS foram comprometidos, com a maioria dos casos afetando modelos como RT-AC3100, RT-AC3200 e RT-AX55.
O que os utilizadores devem fazer?
- Verificar o acesso SSH: Aceder as configurações do router e verificar se o acesso SSH está ativado no porto 53282.
- Rever chaves SSH autorizadas: Procurar por chaves SSH desconhecidas no ficheiro de chaves autorizadas.
- Desativar o SSH: Se encontrar chaves suspeitas, desative o acesso SSH imediatamente.
- Atualizar o firmware: A ASUS lançou uma atualização que corrige a vulnerabilidade CVE-2023-39780 – ver aqui.
- Redefinir para as configurações de fábrica: Reponha as configurações de fábrica do router e reconfigure-o manualmente para garantir a remoção de quaisquer backdoors persistentes.
- Bloquear IPs maliciosos: Considere bloquear os seguintes endereços IP associados aos atacantes:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
Para mais informações, leia o aviso de segurança da ASUS aqui.