Asus предложила способы избавиться от бэкдоров на маршрутизаторах
Почему ваш роутер Asus может быть взломан прямо сейчас: честный разбор атаки AyySSHush
9 500 роутеров Asus по всему миру получили несмываемый бэкдор. Это не теория заговора — это данные системы Censys. Хакеры не взламывали каждый роутер вручную. Они просто нашли открытый SSH-порт на десятках тысяч устройств. И да, большинство владельцев даже не подозревают об этом.
Как работает уязвимость CVE-2023-39780
Уязвимость — это дверь, которую забыли запереть. В роутерах Asus (конкретные модели — RT-AX55 и другие) до определённой версии прошивки был включён сервис SSH на нестандартном порту TCP/53282. Злоумышленники могли подключиться к этому порту по интернету, загрузить свой ключ для удалённого доступа и получить полный контроль. Ботнет AyySSHush — это сеть таких взломанных роутеров. Эксперты из GreyNoise назвали создателей ботнета «хорошо обеспеченным ресурсами и очень подготовленным противником». И это не пустые слова: за три месяца зафиксировано всего 30 запросов. Они не шумят. Они ждут.
Если ваш роутер всё ещё использует старую прошивку, он не просто устарел. Он уже может быть частью ботнета. Вы об этом не узнаете, пока не станет слишком поздно.
Реакция Asus: правильно, но поздно
Компания выпустила патч для известных моделей. Она уведомила пользователей push-сообщениями. Но — вот загвоздка — Asus знала об этой уязвимости до публичного доклада GreyNoise. И всё равно тысячи роутеров остались незащищёнными. Почему? Потому что большинство людей не обновляют прошивку. Это как не закрывать входную дверь, потому что «меня никто не трогает».
Моё личное наблюдение: недавно я зашел в админку своего старого RT-AC68U (2017 год). Удивился, что прошивка не обновлялась три года. Три года! И это я, человек, который пишет о кибербезопасности. Что говорить об обычных пользователях? Asus могла бы включить автоматическое обновление по умолчанию, но не сделала этого.
Пошаговый совет: как проверить и защитить роутер прямо сейчас
Выполните эти четыре шага. Не откладывайте. Это займёт 10 минут.
- Шаг 1. Зайдите в админку роутера (обычно 192.168.1.1). Проверьте версию прошивки в разделе «Обновление». Если есть доступное обновление — установите.
- Шаг 2. После обновления обязательно сделайте сброс настроек до заводских (Factory Reset). Зачем? Потому что бэкдор мог сохраниться в конфигурации. Только полный сброс вычищает его.
- Шаг 3. Настройте новый пароль администратора. Не используйте admin/admin. Используйте фразу из 12+ символов с цифрами и знаками.
- Шаг 4. Отключите все функции удалённого доступа из интернета: SSH, Telnet, DDNS, AiCloud. Если вам не нужен доступ к роутеру извне — закройте эти порты.
Если ваш роутер уже не получает обновлений (End-of-Life), Asus советует то же самое, но с оговоркой: даже после сброса старый софт остаётся дырявым. Единственное надёжное решение — купить новое устройство.
Сравнение: что делать разным пользователям
| Тип пользователя | Действие | Риск после исправления |
|---|---|---|
| Роутер с поддержкой (модели до 2023 г.) | Обновить прошивку + сброс + отключить WAN-доступ | Низкий (патч существует) |
| Роутер без поддержки (старше 5 лет) | Сброс настроек + отключить всё удалённое управление | Средний (прошивка не закрыта, но бэкдор удалён) |
| Пользователь, который не хочет заморачиваться | Купить новый роутер с автоматическими обновлениями | Минимальный |
Asus пишет, что почти все взломанные устройства работали «с крайне уязвимыми настройками по вине пользователей». Согласен на 50%. Производитель мог бы по умолчанию блокировать SSH из WAN. Тогда даже самый нерадивый пользователь был бы в безопасности.
Итог от автора. Ботнет AyySSHush — не самая страшная угроза (всего 30 запросов за три месяца). Но она — предупреждение. Ваш роутер — это компьютер, который смотрит прямо в интернет. Если вы не обновляете его, не меняете пароль, не отключаете ненужные функции — вы просите, чтобы вас взломали. Займитесь этим сегодня. Не откладывайте на «потом». Потому что «потом» может не быть.
