با ما تماس بگیرید

0920-1362-824

مقایسه
علاقه مندی
0 مورد / تومان
منو
0 مورد / تومان
ورود / ثبت نام
ثبت نام همکاران

بلاگ

خانهتکنولوژی

آسیب پذیری روترهای ایسوس؛ هکرها بک‌دورهای غیرقابل شناسایی در NVRAM را جاسازی کرده‌اند

مدیر
تکنولوژی

در مارس ۲۰۲۵، شرکت امنیتی GreyNoise از یک کمپین پنهانی برای آسیب پذیری های ایسوس پرده برداشت که به آرامی هزاران روتر خانگی و اداری ایسوس را به نقاط نفوذ دائمی برای دسترسی غیرمجاز SSH تبدیل کرده است.

نحوه عملکرد مهاجمان در آسیب پذیری روترهای ایسوس

آسیب پذیری روترهای ایسوس از آنجا شروع شد که مهاجمان با حدس زدن یا حملات «بروت-فورس» (brute-forcing) گذرواژه‌های پیش‌فرض یا ضعیف ادمین را پیدا کرده و سپس از ترکیبی از نقص‌های شناخته شده و قبلاً مستند نشده در firmware، به ویژه CVE-2023-39780، یک باگ «command-injection» برای دستیابی به امتیازات سطح روت (root-level privileges) استفاده می‌کنند. 

به جای نصب بدافزارهای حجیم، آن‌ها یک کلید عمومی SSH را در پیکربندی روتر آپلود می‌کنند که به هر کسی که کلید خصوصی متناظر را دارد، دسترسی یکپارچه به کنسول را می‌دهد. هنگامی که کلید عمومی در جای خود قرار گرفت، exploit مستقیماً در حافظه NVRAM روتر نوشته می‌شود؛ این حافظه داخلی تنظیمات را در طول راه‌اندازی مجدد و بازنویسی firmware حفظ می‌کند.

این بدان معناست که حتی پس از به‌روزرسانی firmware روتر (یا قطع و وصل کردن برق آن)، بک‌دور به طور خودکار هنگام بوت شدن دستگاه دوباره فعال می‌شود. برای پوشاندن بیشتر ردپاها در روند آسیب پذیری روترهای ایسوس، مهاجمان تمام logging سمت روتر را غیرفعال می‌کنند، بنابراین ردگیری‌های استاندارد (standard audit trails) ورودهای غیرمجاز یا تغییرات پیکربندی را نشان نخواهند داد.

تا ماه مه ۲۰۲۵، GreyNoise که به آسیب پذیری روترهای ایسوس دست پیدا کرده بود؛ بیش از ۹۰۰۰ روتر ایسوس آلوده را شمارش کرد. این رقم با اتصال دستگاه‌های بیشتر به سرورهای تحت کنترل مهاجمان، همچنان در حال افزایش است. اگر می‌خواهید بدانید روتر شما مورد حمله قرار گرفته است یا خیر، سعی کنید یک نشست SSH روی پورت TCP 53282 باز کنید. در شرایط عادی، این پورت باید بسته باشد. اگر بدون نصب کلیدهای خودتان به طور موفقیت‌آمیزی متصل شدید، روتر شما احتمالاً آلوده شده است. 

آسیب-پذیری-روترهای-ایسوس

مقابله با این نوع بک‌دور و آسیب پذیری روترهای ایسوس ، بیش از یک راه‌اندازی مجدد ساده است و نیاز به بازنشانی کامل به تنظیمات کارخانه (full factory reset) برای پاک کردن NVRAM دارد. سپس به دنبال آن باید پیکربندی دستی نام شبکه، گذرواژه و اطلاعات مدیریتی شما انجام شود. پس از بازنشانی، firmware را به آخرین نسخه به‌روزرسانی کنید، سپس دوباره بررسی کنید که دسترسی SSH غیرفعال یا به جفت کلید خودتان محدود شده باشد.

ایسوس به محض تأیید کمپین آسیب پذیری روترهای ایسوس توسط GreyNoise در اوایل ماه مارس، مطلع شد و این شرکت قبل از عمومی شدن مسئله با سازمان‌های امنیت سایبری دولتی تماس گرفت. اگرچه GreyNoise به گروه هکری خاصی اشاره نکرد، اما ترکیب اکسپلویت‌های سفارشی، استقرار پنهانی و مقیاس جهانی، نشان‌دهنده یک مهاجم با منابع و مهارت فنی قابل توجه است که به طور بالقوه می‌تواند یک عامل مرتبط با دولت باشد.

تاکنون، هیچ مدرکی دال بر اینکه این روترهای دارای بک‌دور برای نفوذهای گسترده‌تر یا حملات بزرگ مقیاس DDoS استفاده شده‌اند، وجود ندارد. اما زیرساخت برای سوءاستفاده‌های آینده فراهم است. تیم‌های امنیتی که تله‌متری شبکه خود را زیر نظر دارند ممکن است تلاش‌های ورود SSH نامشخص یا اتصالات خروجی غیرمعمول از روترها را مشاهده کنند که معمولاً فقط ترافیک محلی را مدیریت می‌کنند.

برای محافظت در برابر تهدیدات مشابه آسیب پذیری روترهای ایسوس:

  • از گذرواژه‌های قوی و منحصربه‌فرد استفاده کنید: از پیش‌فرض‌ها اجتناب کنید و آن‌ها را به طور منظم تغییر دهید.
  • firmware را به‌روز نگه دارید: به طور منظم پورتال پشتیبانی ایسوس را برای نسخه‌های جدید بررسی کنید.
  • مدیریت از راه دور را محدود کنید: دسترسی SSH از طریق اینترنت را غیرفعال کنید مگر اینکه کاملاً ضروری باشد، و آن را به IP‌های خاص محدود کنید.
  • پورت‌های غیرمعمول را رصد کنید: هر پورت بازی که نمی‌شناسید، به ویژه TCP/53282، را علامت‌گذاری کنید.

حادثه آسیب پذیری روترهای ایسوس تأکید می‌کند که چگونه حتی تجهیزات شبکه مصرفی نیز می‌توانند در صورت عدم رعایت بهداشت امنیتی مناسب، به سلاح تبدیل شوند. بک‌دورهای دائمی ذخیره‌شده در NVRAM خطرناک هستند زیرا از روش‌های رایج پاکسازی فرار می‌کنند.

یک بررسی سریع برای تشخیص اینکه آیا روتر شما دستکاری شده است، وجود دارد. ابتدا، پورت SSH را روی TCP/53282 اسکن می‌کنید. اگر بتوانید به آنجا متصل شوید، این یک «نشانه خطر» است. هنگامی که این نقطه دسترسی غیرمنتظره را مشاهده کردید، امن‌ترین اقدام این است که روتر خود را به تنظیمات کارخانه برگردانید. سپس، آن را از ابتدا راه‌اندازی کنید، گذرواژه‌ها و پیکربندی‌های جدید را به صورت دستی انتخاب کنید، تا دقیقاً بدانید چه کسی می‌تواند وارد شود.

 

در اینجا پاسخ ایسوس آمده است:

در پاسخ به گزارش‌های اخیر رسانه‌ها در مورد تلاش برای بهره‌برداری از آسیب پذیری روترهای ایسوس، Asus مایل است اعلام کند که این آسیب‌پذیری‌ها قابل رفع هستند. در حالی که برخی اشاره کرده‌اند که تنها یک به‌روزرسانی firmware ممکن است مشکل را به طور کامل حل نکند، ایسوس مایل است بر توصیه‌های زیر تأکید کند؛ از جمله به‌روزرسانی به آخرین firmware، انجام بازنشانی به تنظیمات کارخانه و تنظیم گذرواژه‌های قوی برای بازیابی مؤثر و حفظ امنیت دستگاه.

مراحل ذکر شده در زیر نه تنها برای کاهش خطرات احتمالی آسیب پذیری روترهای ایسوس ضروری هستند، بلکه برای تقویت حفاظت بلندمدت و مدیریت مسئولانه دستگاه در محیط امنیت سایبری در حال تحول امروز حیاتی هستند.

به‌روزرسانی‌های firmware و گذرواژه‌های قوی می‌توانند به طور مؤثر از خطرات آینده جلوگیری کنند

این گزارش‌های رسانه‌ای شامل آسیب‌پذیری امنیتی (CVE-2023-39780) است که در سال ۲۰۲۳ فاش شد. دستگاه‌هایی که با آخرین firmware به‌روز شده‌اند و با یک گذرواژه قوی ایمن شده‌اند؛ می‌توانند از بهره‌برداری‌های آینده از این آسیب‌پذیری جلوگیری کرده و روش‌های حمله مشابه را مسدود کنند.

در ادامه آسیب پذیری روترهای ایسوس و اقداماتی که باید انجام داد، به کاربران توصیه می‌شود از گذرواژه‌ای حداقل ۱۰ کاراکتر طولانی استفاده کنند و شامل حروف بزرگ و کوچک، اعداد و نمادها باشد. علاوه بر این، ایسوس توصیه می‌کند firmware دستگاه را به‌روز نگه دارند تا از حفاظت مداوم اطمینان حاصل شود.

دستگاه‌هایی که ممکن است تحت تأثیر قرار گرفته باشند باید به طور کامل بازیابی شوند

اگر دستگاه قبلاً از firmware قدیمی و گذرواژه ضعیف استفاده می‌کرده و کاربران گمان می‌کنند ممکن است تحت تأثیر قرار گرفته باشد، لطفاً برای ایمن‌سازی دستگاه در برابر آسیب پذیری روترهای ایسوس، مراحل زیر را دنبال کنید:

  1. firmware را به آخرین نسخه به‌روزرسانی کنید.
  2. بازنشانی به تنظیمات کارخانه را برای پاک کردن هرگونه تنظیمات غیرمجاز یا غیرعادی انجام دهید.
  3. یک گذرواژه قوی مطابق با آنچه در بالا توضیح داده شد، تنظیم کنید.

این مراحل تضمین می‌کنند که دستگاه به طور کامل ایمن شده و هیچ خطر باقی‌مانده‌ای در مورد آسیب پذیری روترهای ایسوس وجود ندارد.

دستگاه‌های پایان عمر (EOL) همچنان می‌توانند با خیال راحت استفاده شوند

برای دستگاه‌های End-of-Life که دیگر به‌روزرسانی فریم‌ور دریافت نمی‌کنند، روش‌های زیر توصیه می‌شود:

  1. آخرین نسخه فریم‌ور موجود برای دستگاه را نصب کنید.
  2. از یک گذرواژه قوی استفاده کنید.
  3. تمام ویژگی‌های دسترسی از راه دور مانند SSH، DDNS، AiCloud یا Web Access از WAN را غیرفعال کنید.

تکمیل مراحل بالا به طور مؤثر از روش‌های بهره‌برداری گفته شده در گزارش‌های اخیر در مورد آسیب پذیری روترهای ایسوس، جلوگیری خواهد کرد.

بررسی‌های اختیاری خودکار برای فعالیت‌های مشکوک

کاربران می‌توانند بررسی‌های زیر را انجام دهند تا مشخص کنند آیا دستگاه آن‌ها نشانه‌هایی از دسترسی غیرمجاز و آسیب پذیری روترهای ایسوس را نشان می‌دهد:

  1. تأیید کنید که SSH (به ویژه پورت TCP 53282) دسترسی به اینترنت ندارد.
  2. لاگ سیستم (System Log) را برای تلاش‌های مکرر ورود ناموفق یا کلیدهای SSH ناآشنا بررسی کنید.
  3. اگر چیزی مشکوک به نظر می‌رسد، توصیه‌های بالا را برای حذف کامل هرگونه تهدید احتمالی دنبال کنید.

ایسوس کاملاً به تضمین امنیت کاربران خود متعهد است. اعلان‌های به‌روزرسانی فریم‌ور و توصیه‌های امنیتی برای مدل‌های پشتیبانی‌شده صادر شده است.

امتیاز ما

نوشته قبلی

عرضه تبلت گیمینگ Red Magic 3 Pro و نسخه محدود Red Magic 10S Pro

نوشته بعدی

مانیتور گیمینگ قابل حمل USetup E5 ارزان با نرخ نوسازی ۱۲۰ هرتز

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

باز کردن سایدبار
سبد خرید
بستن
ورود
بستن

هنوز حساب کاربری ندارید؟

ایجاد حساب کاربری