Milhares de roteadores da ASUS têm brecha de segurança; veja como resolver

por | |

Milhares de roteadores domésticos e corporativos da ASUS estão sendo alvo de um ataque cibernético que instala um backdoor persistente, segundo pesquisadores de segurança. A brecha permite que invasores tenham controle administrativo total do dispositivo, mesmo após reinicializações e atualizações de firmware.

A campanha maliciosa, descoberta pela GreyNoise, começou a ser observada em março deste ano. Os especialistas estimam que cerca de 9 mil roteadores em todo o mundo foram comprometidos até o momento, e o número de dispositivos infectados continua a crescer.

Acesso administrativo que sobrevive a atualizações

Os ataques aproveitam vulnerabilidades já corrigidas pela ASUS, embora algumas dessas falhas sequer tenham sido registradas oficialmente no sistema internacional CVE. Depois de obter acesso administrativo, o invasor adiciona uma chave pública SSH ao roteador, permitindo conexões remotas automáticas por meio de um certificado digital.

A GreyNoise informou que o método de invasão utiliza falhas de autenticação e explora recursos legítimos de configuração, sem implantar malware que pudesse ser facilmente detectado. A empresa ressalta que essa técnica permite controle de longo prazo sem vestígios evidentes.

Em um comunicado, os pesquisadores explicam:

O acesso do invasor sobrevive tanto a reinicializações quanto a atualizações de firmware, mantendo o controle estável dos dispositivos afetados

Possível envolvimento de atores estatais

Embora ainda não haja indícios de atividade maliciosa direta a partir dos roteadores comprometidos, a GreyNoise acredita que o ataque faz parte de um esforço para criar uma base de dispositivos vulneráveis para usos futuros, como espionagem ou botnets.

O fato de a empresa ter aguardado para divulgar as descobertas só depois de alertar agências governamentais sugere que o ataque pode ter origem em grupos com ligações estatais. Segundo a Sekoia, outra empresa de cibersegurança que também investigou o caso, o grupo responsável foi apelidado de ViciousTrap.

Reprodução/GreyNoise

Como identificar se seu roteador está comprometido

Usuários podem verificar se foram afetados acessando as configurações de SSH no painel de administração do roteador.

Dispositivos comprometidos terão a porta 53282 habilitada para acesso SSH e exibirão uma chave pública iniciada com:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…

Além disso, registros de acesso provenientes de IPs específicos podem indicar a presença do invasor:

  • 101.99.91[.]151
  • 101.99.94[.]173
  • 79.141.163[.]179
  • 111.90.146[.]237

Como remover o backdoor e proteger o roteador

A recomendação imediata para usuários de roteadores ASUS é acessar as configurações e remover manualmente a chave pública SSH e o redirecionamento de porta. Embora a ASUS já tenha corrigido as falhas usadas pelos invasores, a remoção desse acesso persistente não ocorre automaticamente.

Para prevenir novas tentativas, é crucial manter o roteador sempre atualizado e revisar periodicamente as configurações de segurança, especialmente as relacionadas a acessos remotos e senhas de administrador.

Passo 1: acesse o painel de administração do roteador

  1. Conecte seu computador à rede do roteador (via cabo ou Wi-Fi).
  2. Abra um navegador e digite http://192.168.1.1 ou http://router.asus.com na barra de endereços. Lembrando que este endereço pode mudar de acordo com suas configurações domésticas.
  3. Insira seu nome de usuário e senha de administrador. Se você nunca alterou essas credenciais, o padrão geralmente é:
    • Usuário: admin
    • Senha: admin

Importante: se você não conseguir acessar o painel ou esqueceu suas credenciais, consulte o manual do roteador ou o site oficial da ASUS para instruções de redefinição

Passo 2: verifique se o serviço SSH está ativado na porta 53282

  1. No menu lateral, clique em “Administração” e depois na aba “Sistema”.
  2. Procure a seção “Acesso ao Serviço” ou similar.
  3. Verifique se o “Acesso SSH” está habilitado.
  4. Se estiver ativado, observe a porta configurada. Se for 53282, isso indica uma possível infecção

Passo 3: verifique a presença de chave SSH maliciosa

  1. Ainda na seção de configurações de SSH, procure por entradas de chaves públicas autorizadas.
  2. Se encontrar uma chave que começa com: CopiarEditarssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ... isso confirma a presença do backdoor.

Passo 4: remova a chave SSH e desative o serviço

  1. Exclua a chave SSH maliciosa identificada na etapa anterior.
  2. Desative o serviço SSH ou altere a porta para um número diferente de 53282.
  3. Salve as alterações e reinicie o roteador.

Passo 5: atualize o firmware do roteador

  1. No painel de administração, vá até “Administração” > “Atualização de Firmware”.
  2. Clique em “Verificar” para procurar atualizações disponíveis.
  3. Se houver uma atualização, siga as instruções na tela para instalá-la.

Embora a atualização do firmware corrija vulnerabilidades conhecidas, ela não remove o backdoor se o roteador já estiver comprometido. Por isso, é essencial realizar as etapas anteriores

Passo 6: considere realizar um reset de fábrica

Se, após seguir os passos acima, você ainda suspeitar que o roteador está comprometido, é recomendável realizar um reset de fábrica:

  1. Pressione e segure o botão de reset na parte traseira do roteador por cerca de 10 segundos, até que as luzes pisquem.
  2. Aguarde o roteador reiniciar completamente.
  3. Configure o roteador novamente, definindo uma nova senha de administrador e ajustando as configurações conforme necessário.

Atenção: não restaure backups de configurações anteriores, pois eles podem reintroduzir a chave SSH maliciosa

Passo 7: monitore conexões suspeitas

Verifique os logs do roteador para identificar conexões provenientes dos seguintes endereços IP, associados ao ataque:

  • 101.99.91.151
  • 101.99.94.173
  • 79.141.163.179
  • 111.90.146.23

Se detectar atividades desses IPs, bloqueie-os nas configurações de firewall do roteador.

Leia também:

Mantenha-se atento

A descoberta desse ataque demonstra a importância de práticas rigorosas de cibersegurança, mesmo em ambientes domésticos. Dispositivos como roteadores, frequentemente esquecidos em cantos das casas, podem se tornar alvos valiosos para invasores em busca de criar redes de controle ou espionagem silenciosa.

Por isso, manter o firmware em dia e monitorar atividades suspeitas é a forma mais eficaz de reduzir os riscos e proteger dados pessoais e corporativos.

Fonte: Bleeping Computer

Adicionar aos favoritos o Link permanente.