L’Agenzia per la Cybersicurezza Nazionale (ACN) ha analizzato i router dell’Asus alla luce di una vulnerabilità che è emersa. Il suo sfruttamento in rete ha ovviamente posto l’accento sui problemi e sulla necessità di risolverli.
Vulnerabilità in Asus
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha evidenziato lo sfruttamento di una vulnerabilità nei router Asus. Si è così consentita “l’apertura di una backdoor, persistente anche dopo il riavvio del dispositivo o gli aggiornamenti del firmware“.
E in nota ha spiegato: “La vulnerabilità risulta essere sfruttata attivamente in rete“. Le tre tipologie oggetto di esame sono ‘Privilege Escalation‘, ‘Bypass Authentication’ e ‘Exploiting Vulnerabilities’.
Contestualmente, si sono segnalati dettagliatamente quali siano i modelli del prodotto che hanno mostrato questa vulnerabilità. Ossia:
- RT-AC3100.
- RT-AC3200.
- RT-AX55.
L’impatto dei vettori malevoli
I vettori malevoli che colpiscono i router hanno portato ad un duplice impatto negativo sull’utente individuale finale. Oltre a rallentare o bloccare del tutto la connessione Internet di casa – o in aziende – possono proprio trasformare l’utente. Il quale diventa complice inconsapevole di attacchi rivolti ad altri siti web divenendo un polo all’interno di una grande rete con le varie connessioni.
Quando alcuni dispositivi (in questo caso i router) finiscono sotto il controllo di qualcun altro, un loro gruppo viene definito come ‘botnet‘. Ovvero una ret (net) di sistemi o dispositivi (bot) che ricevono un controllo da remoto.
Descrizione e potenziali impatti
Secondo lo studio dell’ACN si è rilevato uno sfruttamento di una vulnerabilità presente nei router Asus. La quale, potrebbe consentire “la creazione di una backdoor, persistente anche dopo il riavvio del dispositivo o a seguito di eventuali aggiornamenti del firmware“.
I potenziali soggetti attaccanti devono aver usato le funzionalità ufficiali Asus, per aggiungere chiavi SSH pubbliche e aprire la porta non standard TCP 53282. Ed è allora che l’aggiornamento del firmware non farebbe venir meno la backdoor. Nel dettaglio, con l’impiego di un comando di injection volto a sfruttare la CVE-2023-39780, si va poi ad inserire la propria chiave pubblica SSH nell’apparato.
Le scelte dell’impiego di tale configurazione – ed utilizzando tecniche come il brute forcing ed il bypass authentication – sono un vettore per l’attore malevolo. Il quale, a sua volta, come ha spiegato l’Agenzia, “può reinderizzare il traffico del dispositivo verso altri apparati o rendere lo stesso parte integrante di una botnet“.
L’ingresso negli ‘archivi’ dei dispositivi può servire per ricavare informazioni sensibili, compromettendo il loro corretto funzionamento e causando disservizi.
Azioni di mitigazione
In materia di mitigazione dei rischi e degli effetti nocivi – nella parte conclusiva del rapporto – l’ACN ha evidenziato come l’Asus abbia rilasciato un aggiornamento firmware per sanare la vulnerabilità.
Tuttavia, “se un dispositivo è stato compromesso prima dell’aggiornamento, la backdoor potrebbe persistere“. Per questo ha raccomandato “di controllare se il servizio SSH è attivo sulla porta TCP/53282 e se sono presenti chiavi pubbliche non autorizzate nel file authorized_keys“.
Tra i consigli, anche quello di valutare “la verifica e l’implementazione degli IoC nella propria blocklist“: Gli stessi riceratori di sicurezza hanno fornito questa lista presente al link https://www.labs.greynoise.io/grimoire/2025-03-28-ayysshush/ .
Nella misura in cui un utente riuscisse ad accertare l’eventuale compromissione del dispositivo, la raccomandazione è stata quella di “effettuare tempestivamente un reset completo del router“. E insieme di “riconfigurare manualmente le impostazioni, evitando il ripristino di backup potenzialmente compromessi“.
