اگر روتر ایسوس دارید، حتماً بررسی کنید که هک نشده باشد!
اگرچه ایسوس این آسیبپذیری را با بهروزرسانی اخیر رفع کرده، اما بکدورهای قبلی با بهروزرسانی حذف نمیشوند.
فرارو- هزاران روتر ایسوس به دلیل یک حمله سایبری گسترده اکنون در معرض خطر هستند. اگر از روترهای محبوب و معتبر ایسوس برای وایفای خانهتان استفاده میکنید، بهتر است وضعیت آن را بررسی کنید. شرکت امنیتی GreyNoise گزارش داده که هکرها با استفاده از تلاشهای فراوان برای حدس رمز عبور (brute-force) و دور زدن سیستمهای احراز هویت، به این روترها نفوذ کردهاند.
به گزارش فرارو به نقل از lifehacker، آنها از آسیبپذیری CVE-2023-39780 برای اجرای دستورات دلخواه استفاده کرده و با فعال کردن دسترسی SSH و ذخیره بکدور در حافظه NVRAM (که با بهروزرسانی حذف نمیشود)، کنترل دستگاهها را به دست گرفتهاند. جالب اینجاست که هیچ بدافزاری نصب نکردهاند و حتی لاگها را غیرفعال کردهاند تا ردپایی باقی نماند.
GreyNoise با ابزار هوش مصنوعی Sift خود در ۱۷ مارس ۲۰۲۵ فعالیت غیرعادی را شناسایی کرد و پس از هماهنگی با مقامات و شرکای صنعتی، این موضوع را تأیید کرد. طبق دادههای Censys، تا ۲۷ مه، حدود ۹,۰۰۰ روتر و تا لحظه نگارش این متن ۹,۰۲۲ روتر تحت تأثیر قرار گرفتهاند و تعداد همچنان رو به افزایش است. اگرچه ایسوس این آسیبپذیری را با بهروزرسانی اخیر رفع کرده، اما بکدورهای قبلی با بهروزرسانی حذف نمیشوند.
اقدامات فوری:
- وارد روتر خود از طریق مرورگر (www.asusrouter.com یا آدرس IP روتر) شوید.
- گزینه "Enable SSH" را پیدا کنید (ممکن است در بخش "Service" یا "Administration" باشد). اگر کلیدی مثل ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ... روی پورت ۵۳۲۸۲ ببینید، روتر هک شده است.
- SSH را غیرفعال کنید، آدرسهای IP زیر را مسدود کنید:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
- روتر را ریست کارخانه کنید تا بکدور حذف شود.
- اگر روتر سالم است، فوراً بهروزرسانی جدید را نصب کنید.
این حملات ممکن است مقدمهای برای یک باتنت بزرگ باشد، اما هویت هکرها هنوز مشخص نیست.
