Botnet AyySSHush compromette 9.000 router Asus: backdoor persistente
Un attacco stealth utilizza una backdoor SSH che resiste agli aggiornamenti firmware, mettendo a rischio migliaia di dispositivi.
Circa 9.000 router Asus sono stati compromessi da una nuova botnet chiamata AyySSHush. Questo attacco stealth è stato rilevato dal team di GreyNoise nel marzo 2025. Utilizzando tecniche di autenticazione bypass, gli attori malevoli riescono a mantenere un accesso prolungato senza l'utilizzo di malware.
La backdoor sfrutta la vulnerabilità CVE-2023-39780 e rimane attiva anche dopo gli aggiornamenti firmware. Gli aggressori utilizzano funzionalità ufficiali dei router Asus per abilitare l'accesso SSH su una porta non standard (TCP 53282) e installare una chiave SSH pubblica, garantendo il controllo amministrativo remoto.
Questa minaccia è resa ancora più pericolosa dalla capacità degli attaccanti di disabilitare il logging di sistema e le funzionalità di sicurezza AiProtection, rendendo difficile la rilevazione. Secondo Censys, oltre 9.000 dispositivi sono stati compromessi.
Asus ha rilasciato un aggiornamento firmware per affrontare la vulnerabilità e le tecniche di login non documentate, ma questo non rimuove le configurazioni dannose memorizzate nella memoria non volatile. Gli utenti sono invitati a verificare manualmente gli accessi SSH attivi e a effettuare un reset completo del dispositivo in caso di sospetta compromissione.
Cos'è la botnet AyySSHush e come compromette i router Asus?
AyySSHush è una botnet che ha compromesso circa 9.000 router Asus sfruttando la vulnerabilità CVE-2023-39780. Gli attaccanti bypassano l'autenticazione per mantenere un accesso prolungato senza l'uso di malware, abilitando l'accesso SSH su una porta non standard e installando una chiave SSH pubblica per il controllo remoto.
In che modo la vulnerabilità CVE-2023-39780 viene sfruttata dagli attaccanti?
La vulnerabilità CVE-2023-39780 consente agli attaccanti di aggirare l'autenticazione sui router Asus. Sfruttando questa falla, gli aggressori abilitano l'accesso SSH su una porta non standard (TCP 53282) e installano una chiave SSH pubblica, garantendo così il controllo amministrativo remoto del dispositivo.
Quali misure ha adottato Asus per affrontare la minaccia AyySSHush?
Asus ha rilasciato un aggiornamento firmware per correggere la vulnerabilità CVE-2023-39780 e le tecniche di login non documentate. Tuttavia, l'aggiornamento non rimuove le configurazioni dannose memorizzate nella memoria non volatile. Gli utenti sono invitati a verificare manualmente gli accessi SSH attivi e a effettuare un reset completo del dispositivo in caso di sospetta compromissione.
Come posso proteggere il mio router Asus da future vulnerabilità?
Per proteggere il tuo router Asus, è consigliabile aggiornare regolarmente il firmware all'ultima versione disponibile, impostare password complesse per l'account amministratore e la rete Wi-Fi, disabilitare l'accesso remoto tramite WAN e disattivare servizi non necessari come il port forwarding e il DMZ. Inoltre, l'utilizzo di funzionalità di sicurezza integrate come AiProtection può offrire una protezione aggiuntiva.
Quali sono i segnali che indicano che il mio router potrebbe essere compromesso?
Segnali di compromissione del router includono modifiche non autorizzate alle impostazioni di port forwarding, cambiamenti nei server DNS configurati, rallentamenti inspiegabili della rete e l'impossibilità di accedere al pannello di amministrazione del router. È importante monitorare regolarmente queste impostazioni per rilevare eventuali anomalie.
Cosa fare se si sospetta che il proprio router sia stato compromesso?
Se sospetti che il tuo router sia stato compromesso, esegui un reset alle impostazioni di fabbrica, aggiorna il firmware all'ultima versione disponibile, modifica le credenziali di accesso con password complesse e verifica le impostazioni di sicurezza. Inoltre, disabilita l'accesso remoto e controlla le configurazioni di port forwarding e DNS per assicurarti che non siano state alterate.
