**번역본뉴스입니다. 오역이 있을수 있습니다.
— 펌웨어 업데이트와 공장 초기화로 라우터의 지속적인 백도어 제거 가능
은밀한 악용으로 남겨진 지속적인 SSH 백도어에 대한 일부 우려가 Asus에 의해 완화됨
Asus는 현재까지 9,000대 이상의 라우터를 감염시킨 대대적으로 공개된 봇넷 공격에 관해 여러 성명을 발표했습니다. 이전 보도에 따르면, "AyySSHush" 봇넷은 무차별 대입 공격과 인증 우회를 혼합하여 호스트를 감염시켰으며, 비휘발성 메모리에 백도어를 숨겨 펌웨어 업데이트와 새로 고침으로부터 숨기려고 시도합니다.
이 보안 취약점에 관한 공식 성명에서 Asus는 Tom's Hardware에 아직 감염되지 않은 사용자들은 취약점을 피할 수 있고, 이미 침해된 라우터들은 수정할 수 있다고 말했습니다. 악의적인 공격자들은 알려진 명령 주입 결함인 CVE-2023-39780을 이용하여 사용자 정의 포트(TCP/53282)에서 SSH 접근을 활성화하고 원격 접근을 위한 공격자 제어 공개 키를 삽입합니다.
이 악용은 최신 Asus 펌웨어 업데이트에서 패치되었으며, 따라서 Asus는 모든 라우터 사용자들에게 펌웨어를 업데이트할 것을 권고합니다. 이후 Asus는 공장 초기화를 권고하고, 그 다음 강력한 관리자 비밀번호를 추가할 것을 권합니다. 지원 종료에 도달한 라우터를 사용하는 사용자나 라우터 설정을 열어볼 만큼 기술에 정통하여 공장 초기화를 피하고 싶은 사용자들의 경우, Asus는 "SSH, DDNS, AiCloud 또는 WAN에서의 웹 접근과 같은 모든 원격 접근 기능을 비활성화하고, SSH(특히 TCP 포트 53282)가 인터넷에 노출되지 않도록 확인할 것"을 권장합니다.
AyySSHush 봇넷은 보안 회사 GreyNoise에 의해 3월에 처음 발견되었으며, 자체 AI 모니터링 기술인 Sift가 발생시킨 경고를 통해 5월에 공개되었습니다. GreyNoise는 봇넷을 담당하는 공격자들을 "자원이 풍부하고 매우 능력 있는 적"으로 분류하지만, 공격자가 누구인지에 대해서는 어떤 비난도 하지 않습니다. 작성 시점에서 9,500대를 넘는 영향을 받은 라우터들의 Censys 검색은 여기에서 찾을 수 있습니다. 현재까지 봇넷의 활동은 미미했으며, 3개월에 걸쳐 단 30개의 관련 요청만이 등록되었습니다.
Tom's Hardware에 특별히 보낸 추가 코멘트에서 Asus는 악용이 널리 알려지자 해당 사용자들에게 펌웨어를 업데이트하라고 알리는 푸시 알림을 보냈다고 덧붙였습니다. 사용자들은 또한 Asus의 제품 보안 권고 페이지와 특별히 이 악용을 다룬 업데이트된 지식 베이스 기사를 포함한 자원들을 가지고 있습니다.
Asus는 또한 GreyNoise 보고서가 나오기 훨씬 전부터 RT-AX55 라우터를 포함한 모델들의 펌웨어를 업데이트하여 이 알려진 취약점으로부터 보호하기 위해 작업해왔다고 주장합니다. 이는 CVE-2023-39780 보고서가 Asus가 가장 최근의 GreyNoise 보고서가 나오기 전에 취약점을 인지하고 있었음을 보여주므로 회사로부터의 핵심 세부사항입니다.
우려하는 Asus 라우터 사용자들은 자신들의 SSH가 인터넷에 노출되지 않았는지 확인해야 하며, 과거 무차별 대입 공격을 나타내는 반복적인 로그인 실패나 익숙하지 않은 SSH 키에 대해 라우터의 로그를 확인하는 것이 권장됩니다. 라우터를 WAN 접근과 개방된 인터넷에 노출시키는 것은 재앙의 조리법이며, 봇넷에 감염된 거의 모든 라우터들은 최종 사용자가 야기한 매우 취약하고 안전하지 않은 조건 하에서 작동하고 있었을 가능성이 높습니다. 그러나 모든 웹 보안 문제와 마찬가지로, 안전한 것이 후회하는 것보다 낫고, 라우터와 기타 웹 연결 장치들이 최신 펌웨어에서 작동하고 있는지 확인하는 것이 좋습니다.
--------------------------------------------------------------------------------------광고(Advertising)--------------------------------------------------------------------------------------------------------
** Cluade sonet 4 AI 사이트요약입니다. - https://www.greynoise.io/blog/stealthy-backdoor-campaign-affecting-asus-routers
GreyNoise 블로그 사이트 요약: ASUS 라우터 백도어 캠페인
주요 발견사항: GreyNoise가 2025년 3월 18일에 처음 발견한 이 활동은 수천 대의 ASUS 라우터에 대한 지속적이고 은밀한 백도어 캠페인 GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers입니다.
공격 방식:
규모: 5월 27일 기준으로 거의 9,000대의 ASUS 라우터가 침해 확인되었으며, 영향받은 호스트 수는 계속 증가 GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers하고 있습니다. 하지만 GreyNoise 센서는 3개월에 걸쳐 단 30개의 관련 요청만을 포착하여 이 캠페인이 얼마나 조용히 운영되고 있는지 보여줍니다 GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers.
탐지 방법: GreyNoise의 AI 기반 분석 도구인 Sift가 단 3개의 HTTP POST 요청을 플래그하여 발견 GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers되었으며, 완전히 에뮬레이션된 ASUS 프로필을 통해 공격 재현이 가능했습니다.
보안 권고사항:
패치 상태: ASUS는 CVE-2023-39780을 최근 펌웨어 업데이트에서 패치했지만, 이미 침해된 라우터의 경우 SSH 구성 변경사항이 펌웨어 업그레이드로는 제거되지 않습니다.