AyySSHush được nhóm nghiên cứu bảo mật GreyNoise phát hiện giữa tháng 3 và công bố ngày 28/5. Kẻ đứng sau kết hợp thông tin đăng nhập bằng phương pháp vét cạn (brute-force), bỏ qua xác thực và khai thác lỗ hổng cũ, cuối cùng xâm nhập vào bộ định tuyến Asus, với các mẫu bị ảnh hưởng gồm RT-AC3100, RT-AC3200 và RT-AX55.
Brute-force, hay tấn công vét cạn, là phương pháp hacker chạy thử các chuỗi ký tự cho đến khi trúng mật khẩu hoặc khóa bảo mật để truy cập được vào tài khoản. Đây là hình thức đơn giản nhưng nguy hiểm nếu hệ thống không có biện pháp bảo vệ, như giới hạn số lần đăng nhập sai hoặc xác thực hai bước.
Bộ định tuyến Asus RT-AC3100, một trong những mẫu bị ảnh hưởng AyySSHush. Ảnh: Asus
Trong vụ của Asus, kẻ tấn công khai thác lỗ hổng trên bộ định tuyến được phát hiện trước đó là CVE-2023-39780 để thêm khóa công khai SSH của riêng chúng, cho phép Daemon SSH - một tiến trình nền chạy trên máy chủ lắng nghe và xử lý các yêu cầu kết nối SSH từ thiết bị khách - trên cổng TCP 53282. Những sửa đổi này cho phép kẻ tấn công duy trì quyền truy cập cửa hậu vào bộ định tuyến, ngay cả khi người dùng khởi động lại và cập nhật chương trình cơ sở.
"Vì khóa SSH được thêm vào thông qua chức năng chính thức trang bị trên bộ định tuyến Asus, các thay đổi cấu hình vẫn luôn duy trì trong những lần nâng cấp phần mềm hay bản vá. Do đó, cách này không xóa được cửa hậu SSH", đại diện GreyNoise giải thích.
Cũng theo GreyNoise, các cuộc tấn công diễn ra bí mật vì không liên quan đến phần mềm độc hại, trong khi người dùng khó phát hiện do hacker tắt chức năng ghi nhật ký. Nhóm bảo mật ghi nhận khoảng 9.000 bộ định tuyến Asus bị nhiễm.
Mục tiêu tấn công của AyySSHush chưa rõ ràng. GreyNoise cảnh báo hacker có thể đang âm thầm "xây dựng một mạng lưới bộ định tuyến có cửa hậu để tạo nền tảng cho một mạng botnet trong tương lai".
Trước đó, nhóm nghiên cứu bảo mật Sekoia của Pháp cũng phát hiện một chiến dịch khác của hacker có tên Vicious Trap nhắm vào bộ định tuyến Asus qua lỗ hổng CVE-2021-32030.
Asus cho biết đã ghi nhận cảnh báo của GreyNoise từ tháng 3 và vừa phát hành bản cập nhật để khắc phục lỗ hổng CVE-2023-39780 cho các bộ định tuyến bị ảnh hưởng. Tuy nhiên, thời gian triển khai có thể khác nhau tùy theo từng mẫu máy. Các chuyên gia khuyến cáo người dùng nên khôi phục cài đặt gốc cho bộ định tuyến nếu nghi ngờ, cấu hình lại từ đầu bằng mật khẩu mạnh trong lúc đợi bản cập nhật.
Bảo Lâm (theo Bleeping Computer, Ars Technica)
