Kampania AyySSHush. Nowy botnet atakuje routery ASUS poprzez CVE-2023-39780 i luki w uwierzytelnianiu
Współczesne urządzenia sieciowe coraz częściej stają się celem zaawansowanych ataków, które potrafią zagrażać bezpieczeństwu nawet dobrze chronionych użytkowników. Rozwój technologii wiąże się nie tylko z nowymi możliwościami, ale także z nowymi wyzwaniami w zakresie ochrony danych i infrastruktury. Z tego względu warto przyjrzeć się aktualnym zagrożeniom, aby lepiej zrozumieć, jak mogą wpływać na codzienne korzystanie z sieci i urządzeń.
Atakujący wykorzystują oficjalne funkcje ASUS do aktywacji dostępu SSH i wprowadzenia własnego klucza publicznego, co pozwala na trwały dostęp.
![Kampania AyySSHush. Nowy botnet atakuje routery ASUS poprzez CVE-2023-39780 i luki w uwierzytelnianiu [1]](/image/news/2025/05/29_kampania_ayysshush_nowy_botnet_atakuje_routery_asus_poprzez_cve_2023_39780_i_luki_w_uwierzytelnianiu_0_b.jpg)
Globalna operacja przeciwko Lumma Stealer. ESET i Microsoft neutralizują jedno z najgroźniejszych narzędzi cyberprzestępców
Firma GreyNoise ujawniła poważną kampanię cyberataków, w której ponad 9000 routerów ASUS zostało zainfekowanych trwałym backdoorem SSH. Atak ten, nazwany „AyySSHush”, wykorzystuje lukę CVE-2023-39780, a także inne nieudokumentowane techniki, aby uzyskać nieautoryzowany dostęp administracyjny do urządzeń. Po przejęciu kontroli, atakujący aktywują zdalny dostęp SSH na niestandardowym porcie TCP/53282, a także wprowadzają własny klucz publiczny, umożliwiający trwałe logowanie. Co istotne, backdoor ten przechowuje się w pamięci NVRAM. Oznacza to, że przetrwa nawet aktualizacje firmware'u, jak również ponowne uruchomienia urządzenia. Atakujący wyłączają także logowanie systemowe. To znacznie utrudnia wykrycie obecności zagrożenia.
![Kampania AyySSHush. Nowy botnet atakuje routery ASUS poprzez CVE-2023-39780 i luki w uwierzytelnianiu [2]](/image/news/2025/05/29_kampania_ayysshush_nowy_botnet_atakuje_routery_asus_poprzez_cve_2023_39780_i_luki_w_uwierzytelnianiu_1_b.jpg)
Signal kontra Windows Recall, czyli jak wykorzystano DRM do ochrony prywatności w aplikacji desktopowej
Chociaż ASUS wydał aktualizację łatającą CVE-2023-39780, urządzenia już zainfekowane pozostają podatne, ponieważ standardowe aktualizacje nie usuwają zainstalowanego backdoora. Użytkownicy powinni sprawdzić, czy na ich routerach aktywowany jest dostęp SSH na porcie 53282, a także czy w pliku "authorized_keys" nie znajdują się nieautoryzowane wpisy. W przypadku podejrzenia infekcji zaleca się wykonanie pełnego resetu do ustawień fabrycznych, jak również ręczną rekonfigurację urządzenia. Ta kampania podkreśla potrzebę regularnego monitorowania i aktualizowania urządzeń sieciowych, a także zwiększa świadomość o zagrożeniach związanych z domowymi routerami.
Powiązane publikacje
Wyciek danych z Sky-Shop.pl dotknął 9000 polskich sklepów internetowych. Wykradzione hashe haseł i dane osobowe klientów
33
Awaria ekosystemu Microsoft, brak możliwości logowania do Azure, Minecraft i pakietu biurowego 365. W tle ponownie Amazon AWS
34
W Polsce brakuje aż 150 tysięcy specjalistów IT. Czy rządowy program PW eSkills to ostatnia szansa na odwrócenie trendu?
89
Pusty rekord DNS położył pół internetu. Amazon ujawnia szokujące kulisy 15-godzinnej katastrofy dla 3500 firm i 17 mln użytkowników
49
