ID
ID
Tentang Kami
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Berita
Teknologi
Keamanan
Komponen Komputer
Perangkat Jaringan

Hampir 9.000 Router Asus Dikompromikan oleh Backdoor SSH Persisten yang Bertahan Meski Firmware Diperbarui

BigGo Editorial Team
Hampir 9.000 Router Asus Dikompromikan oleh Backdoor SSH Persisten yang Bertahan Meski Firmware Diperbarui

Sebuah kampanye serangan siber canggih telah berhasil mengompromikan hampir 9.000 router Asus di seluruh dunia, memasang backdoor persisten yang tetap aktif bahkan setelah pembaruan firmware dan restart perangkat. Serangan ini, yang ditemukan oleh perusahaan keamanan siber GreyNoise pada Maret 2025, mengeksploitasi berbagai kerentanan untuk membangun akses tidak sah jangka panjang yang berpotensi digunakan untuk membangun botnet masif.

Metodologi Serangan Canggih Melewati Langkah-Langkah Keamanan Standar

Para penyerang menggunakan pendekatan multi-tahap yang dimulai dengan teknik bypass autentikasi yang menargetkan model router Asus tertentu. Untuk router RT-AC3200 dan RT-AC3100, pelaku ancaman mengeksploitasi kerentanan yang tidak terdokumentasi dengan menyamar sebagai user agent Asus yang sah dan memanipulasi parsing cookie untuk melewati autentikasi sepenuhnya. Perangkat GT-AC2900 dan Lyra Mini menjadi korban CVE-2021-32030, kerentanan bypass autentikasi lain yang memberikan akses administratif tidak sah.

Model Router Asus yang Terdampak:

  • RT-AC3200 dan RT-AC3100 (bypass autentikasi yang tidak terdokumentasi)
  • GT-AC2900 dan Lyra Mini (CVE-2021-32030)
  • RT-AX55 series (CVE-2023-39780)

Kerentanan Command Injection Memungkinkan Kontrol Tingkat Sistem

Setelah masuk ke antarmuka administratif router, penyerang memanfaatkan CVE-2023-39780, kerentanan command injection yang mempengaruhi model seri RT-AX55. Celah ini memungkinkan pelaku jahat untuk mengeksekusi perintah sistem sembarangan melalui fitur Bandwidth SQLite Logging router, yang secara efektif memberikan mereka kontrol penuh atas konfigurasi dan fungsionalitas perangkat.

Kerentanan Utama yang Dieksploitasi:

  • Bypass autentikasi yang tidak terdokumentasi (tidak ada CVE yang ditetapkan)
  • CVE-2021-32030: Kerentanan bypass autentikasi
  • CVE-2023-39780: Injeksi perintah melalui Bandwidth SQLite Logging

Desain Backdoor Persisten Bertahan dari Langkah-Langkah Keamanan Standar

Aspek paling mengkhawatirkan dari serangan ini terletak pada mekanisme persistensinya. Alih-alih memasang malware tradisional, para penyerang memanipulasi fitur router yang sah untuk mempertahankan akses. Mereka mengaktifkan layanan SSH pada port non-standar TCP 53282 dan memasang kunci SSH publik mereka sendiri untuk kontrol administratif jarak jauh. Yang kritis, perubahan konfigurasi ini disimpan dalam memori akses acak non-volatil (NVRAM) router, memastikan backdoor bertahan dari pembaruan firmware dan restart perangkat.

Karakteristik Serangan:

  • Port backdoor: TCP 53282 (akses SSH )
  • Lokasi penyimpanan: RAM Non-volatile ( NVRAM )
  • Persistensi: Bertahan melalui pembaruan firmware dan reboot
  • Penghindaran deteksi: Menonaktifkan logging dan fitur keamanan

Operasi Siluman Menghindari Sistem Deteksi

Kampanye ini menunjukkan kecanggihan yang luar biasa dalam menghindari deteksi. Penyerang secara sistematis menonaktifkan logging sistem dan fitur keamanan AiProtection Asus, membuat kehadiran mereka hampir tidak terlihat oleh alat monitoring standar. Alat analisis bertenaga AI Sift milik GreyNoise hanya mendeteksi 30 permintaan berbahaya selama tiga bulan, meskipun berhasil mengompromikan ribuan perangkat, yang menyoroti kemampuan siluman serangan ini.

Pembaruan Firmware Memberikan Perlindungan Terbatas untuk Perangkat yang Dikompromikan

Meskipun Asus telah merilis pembaruan firmware yang mengatasi kerentanan yang dieksploitasi, patch ini terutama berfungsi sebagai langkah pencegahan untuk perangkat yang belum dikompromikan. Router yang sudah terinfeksi backdoor akan mempertahankan akses tidak sah bahkan setelah pembaruan firmware, karena konfigurasi berbahaya bertahan dalam memori non-volatil yang tidak ditimpa oleh prosedur upgrade standar.

Langkah-langkah Remediasi untuk Perangkat yang Diduga Terkompromi:

  1. Periksa akses SSH pada port TCP 53282
  2. Tinjau file authorized_keys untuk entri yang tidak sah
  3. Blokir alamat IP berbahaya yang diketahui
  4. Lakukan reset pabrik secara menyeluruh
  5. Konfigurasi ulang router dari awal
  6. Terapkan pembaruan firmware terbaru

Factory Reset Lengkap Diperlukan untuk Perangkat yang Terinfeksi

Para ahli keamanan sangat merekomendasikan agar pengguna model router Asus yang berpotensi terdampak melakukan pemeriksaan keamanan komprehensif. Ini termasuk memeriksa port TCP 53282 untuk akses SSH tidak sah dan meninjau file authorized_keys untuk entri yang tidak dikenal. Untuk perangkat yang dicurigai dikompromikan, hanya factory reset lengkap yang diikuti dengan rekonfigurasi penuh yang dapat menghilangkan backdoor persisten. Pengguna juga harus memblokir alamat IP berbahaya yang diketahui terkait dengan kampanye ini untuk mencegah infeksi ulang.

Berita Terkait