Allarme Router ASUS: Backdoor Persistente Minaccia Migliaia di Dispositivi

na sofisticata campagna di attacco sta compromettendo migliaia di router ASUS sfruttando vulnerabilità note e sconosciute, installando backdoor che persistono anche dopo gli aggiornamenti del firmware e i riavvii, trasformando i dispositivi in parte di una rete di proxy malevola. ASUS ha emesso un comunicato con raccomandazioni urgenti.

SICUREZZA INFORMATICAHARDWARE

6/10/20252 min read

Migliaia di router ASUS sono stati compromessi in una sofisticata campagna di attacco che ha installato backdoor persistenti, trasformando i dispositivi in parte di una rete di proxy malevola. Questa operazione su larga scala, attiva almeno da marzo 2025, ha sfruttato una combinazione di vulnerabilità precedentemente patchate e tecniche di bypass dell'autenticazione, alcune delle quali non ancora catalogate con un CVE. La natura persistente di queste backdoor, che sopravvivono agli aggiornamenti del firmware e ai riavvii, rappresenta una minaccia significativa per gli utenti.

Dettagli dell'Attacco:

Secondo le analisi di diverse aziende di sicurezza come GreyNoise, Sekoia e Fing, più di 9.000 router ASUS sono stati compromessi a partire da fine maggio 2025, e il numero è in crescita. Gli attaccanti ottengono l'accesso iniziale attraverso:

  • Tentativi di brute-force: Provando credenziali deboli o predefinite.

  • Bypass dell'autenticazione: Sfruttando vulnerabilità non ancora assegnate a CVE, incluso un metodo che impiega l'iniezione di null byte (es. asus_token=0x00).

  • Sfruttamento di CVE-2023-39780: Una falla di command injection in diverse versioni del firmware ASUS (come start_apply.htm nel modello RT-AX55), che consente l'esecuzione di comandi di sistema con privilegi elevati.

Una volta ottenuto l'accesso, gli attaccanti installano una backdoor persistente abilitando il server SSH su una porta non standard (comunemente TCP/53282) e iniettando le proprie chiavi pubbliche SSH nel file authorized_keys. La particolarità di questo attacco è che queste configurazioni malevole vengono memorizzate nella memoria non volatile (NVRAM) del router, utilizzando funzionalità legittime del firmware. Ciò significa che la backdoor persiste anche dopo gli aggiornamenti del firmware o i ripristini parziali, rendendo estremamente difficile la sua rimozione. Inoltre, gli attaccanti disabilitano la registrazione dei log per evadere il rilevamento.

I router compromessi vengono utilizzati per reindirizzare il traffico in modo anonimo, consentendo agli attaccanti di nascondere attività criminali, partecipare a botnet (come la "AyySSHush Botnet") o fungere da infrastruttura di relay per gruppi di hacking professionali.

Comunicato Ufficiale ASUS e Raccomandazioni:

ASUS ha rilasciato un comunicato ufficiale in merito a queste vulnerabilità, rispondendo alle segnalazioni anche da parte dell'Agenzia per la Cybersicurezza Nazionale italiana (ACN). L'azienda ha confermato l'esistenza di queste problematiche e ha fornito istruzioni dettagliate per la mitigazione:

  1. Aggiornamento Immediato del Firmware: È fondamentale aggiornare il firmware del router all'ultima versione disponibile. Sebbene gli aggiornamenti correggano le vulnerabilità iniziali di accesso, non rimuovono la backdoor se il router è già stato compromesso.

  2. Password Complesse: Utilizzare password di amministratore robuste, lunghe almeno 10 caratteri, che includano lettere maiuscole e minuscole, numeri e simboli.

  3. Ripristino delle Impostazioni di Fabbrica (Factory Reset): Se si sospetta una compromissione, o se si è utilizzato un firmware obsoleto o una password debole, è assolutamente necessario eseguire un ripristino completo delle impostazioni di fabbrica e riconfigurare manualmente il router. Questo è l'unico modo per pulire la NVRAM e rimuovere le configurazioni malevole persistenti.

  4. Disabilitare Funzionalità di Accesso Remoto: Per i dispositivi non più aggiornati o se non strettamente necessario, disabilitare le funzionalità di accesso remoto come SSH, DDNS, AiCloud e Web Access da WAN.

  5. Monitoraggio della Rete: Monitorare la propria rete per attività insolite o degrado delle prestazioni.

  6. Verifica delle Chiavi SSH: Verificare la presenza di accessi SSH sulla porta TCP/53282 e ispezionare il file authorized_keys per voci non autorizzate.

Modelli di router specifici segnalati come vulnerabili includono RT-AC3100, RT-AC3200 e RT-AX55, oltre a versioni precedenti del firmware ASUS vulnerabili a CVE-2023-39780.

Questa campagna sottolinea l'importanza di una gestione proattiva della sicurezza dei dispositivi di rete e la necessità di andare oltre i semplici aggiornamenti del firmware quando si sospetta una compromissione persistente.

informatica sistemi consulenza cloud assistenza supporto hardware softwareinformatica sistemi consulenza cloud assistenza supporto hardware software
informatica sistemi consulenza cloud assistenza supporto hardware software
informatica sistemi consulenza cloud assistenza supporto hardware software

Seguici sui Social

@ 2025 SD Solution

SD Solution

Via Della Pineta 103 - Cagliari 09126

WA: +39 392 900 9590

CALL: +39 392 900 9590

MAIL: hello@sd-solution.it

Lascia una recensione