Una reciente campaña de intrusión informática ha afectado a numerosos modelos de routers ASUS, exponiendo a al menos 9.000 dispositivos a riesgos que van desde la ejecución de comandos arbitrarios hasta la potencial incorporación de estos dispositivos en botnets para ataques DDoS. Según GreyNoise, una compañía especializada en ciberseguridad, los atacantes utilizan técnicas de fuerza bruta sin que hasta el momento existan identificadores CVE específicos para las estrategias de evasión aplicadas. Luego aprovechan una vulnerabilidad específica, identificada como CVE-2023-39780, para modificar la configuración interna del router, como activar el acceso SSH en un puerto específico (TCP/53282) y agregar una clave pública en la memoria NVRAM del dispositivo, permitiendo así un acceso remoto persistente incluso tras reinicios del sistema.
Los modelos afectados replicados en el ataque incluyen el ASUS RT-AC3100, RT-AC3200, y RT-AX55, aunque no se descarta que haya más modelos comprometidos. Este ataque se caracteriza por su disimulo, no dejando rastro visible como un malware tradicional, sino mediante modificaciones que mantienen una puerta trasera abierta para los atacantes. La compañía GreyNoise ha documentado este patrón de ataque sin atribuirlo a un grupo específico, destacando que las técnicas utilizadas son indicativas de operaciones avanzadas y planificadas, potencialmente vinculadas a grupos de APT (Amenazas Persistentes Avanzadas).
ASUS ya ha emitido un parche de seguridad para la vulnerabilidad CVE-2023-39780. Sin embargo, dispositivos que fueron comprometidos antes de esta actualización pueden seguir siendo vulnerables. GreyNoise recomienda verificar la configuración de SSH y buscar claves públicas no autorizadas, entre otros pasos, para determinar si un dispositivo ha sido afectado. Además, sugiere un restablecimiento completo de fábrica para aquellos dispositivos comprometidos. Este caso subraya la importancia de no subestimar la seguridad de los dispositivos de red domésticos y la necesidad de mantenerlos actualizados ante las amenazas constantemente en evolución. Se está a la espera de comentarios adicionales por parte de ASUS sobre medidas de protección futuras.