En snigende trussel mod Asus-routere
Cyberkriminelle har fundet vej ind i over 9.000 Asus-routere via en snedig bagdør, der går under navnet “ViciousTrap”. Denne bagdør kan give uautoriseret fjernadgang til netværksenheder, og den er skræmmende nok næsten usynlig for både brugere og administratorer. Det er sikkerhedsfirmaet GreyNoise, som har afsløret denne skjulte kampagne, der udnytter flere sårbarheder – nogle allerede lappet, andre stadig ukendte i de officielle CVE-databaser.
Sådan fungerer ViciousTrap
ViciousTrap bagdøren udnytter først og fremmest flere sikkerhedshuller i Asus-routere for at trænge ind via brute-force angreb på login. Dernæst bruger angriberne en specifik sårbarhed (CVE-2023-39780) til at aktivere SSH-adgang på en bestemt port og indsprøjte en offentlig krypteringsnøgle, som giver fjernkontrol med den kompromitterede enhed.
Det der gør denne bagdør ekstra snedig, er at den gemmes i routerens NVRAM, hvilket betyder, at den overlever både genstart og firmwareopdateringer. Samtidig er al logging slået fra, så det er næsten umuligt for brugere eller systemadministratorer at opdage aktiviteten.
Hvorfor skal du bekymre dig?
Selvom de kriminelle bag ViciousTrap endnu ikke har slået til med deciderede angreb, er det kun et spørgsmål om tid, før botnettet bliver aktiveret til ondsindede aktiviteter som DDoS-angreb, dataindsamling eller værre. Derfor er det afgørende at handle hurtigt, hvis du ejer en Asus-router, og gerne vil sikre dit netværk mod denne trussel.
Sådan sikrer du din Asus-router
Asus har allerede frigivet opdateringer, der lukker de kendte sårbarheder, men det er ikke nok at opdatere firmwaren. Hvis bagdøren først er installeret, skal du også:
- Fjerne den offentlige SSH-nøgle, som angriberne har indsprøjtet
- Deaktivere uautoriseret SSH-adgang og nulstille eventuelle ændrede TCP/IP-portindstillinger
- Udføre en fuld fabriksnulstilling og konfigurere routeren på ny
Derudover anbefaler GreyNoise at holde øje med mistænkelig netværkstrafik, især forbindelser fra IP-adresser som 101.99.91.151, 101.99.94.173, 79.141.163.179 og 111.90.146.237. Disse kan være tegn på, at din router bliver overvåget eller misbrugt.
Vær på forkant med sikkerheden
Det er fristende at tænke, at en router bare er en kasse, der bare skal køre, men i dag er den en vigtig brik i dit netværks forsvar mod cyberangreb. Med ViciousTrap-kampagnen som advarsel bør alle Asus-routerejere sørge for at opdatere firmware, nulstille enheden og holde øje med mistænkelig aktivitet. En god dosis sund fornuft og regelmæssig vedligeholdelse kan forhindre, at din router bliver en del af et ondsindet botnet.
Har du en Asus-router, er det altså tid til at trække i detektivhatten og sikre, at ViciousTrap ikke sniger sig ind i dit hjemmenetværk.
