Aanvallers misbruikten een kwetsbaarheid om toegang te krijgen tot de routers. Ze maakten er een botnet van.
Beveiligingsonderzoekers hebben een grootschalig botnet ontdekt van minstens 9.000 Asus-routers. Het gaat volgens GreyNoise om een aanval “van een goed gefinancierde en hoogtechnologische actor”, vermoedelijk van statelijke oorsprong.
Permanent besmet
De aanvallers misbruiken een ‘command injection’-kwetsbaarheid om toegang te krijgen tot de routers, schrijft PCWorld. Populaire modellen zoals de RT-AC3100, RT-AC3200 en RT-AX55 zijn getroffen. Eenmaal geïnfecteerd blijven de routers besmet, zelfs na herstarten of firmware-update, omdat de kwaadaardige instellingen in niet-vluchtig geheugen worden opgeslagen.
Herstel vereist fabrieksinstellingen
De enige manier om de infectie te verwijderen, is de router resetten naar fabrieksinstellingen. Enkel de firmware bijwerken is niet genoeg want de malware overleeft die ingreep. Gebruikers moeten hun router volledig resetten en handmatig opnieuw configureren.
Patch beschikbaar sinds 27 mei
Asus heeft een firmware-update uitgebracht die nieuwe infecties voorkomt. Wie nog niet getroffen is, wordt aangeraden de patch van 27 mei 2025 of later zo snel mogelijk te installeren. Wie al besmet is, moet dus zowel de update installeren als een reset uitvoeren.
Kwaadwillenden komen binnen via poort TCP/53282 en via specifieke IP-adressen. Nu die publiek gemaakt zijn, kunnen aanvallers overschakelen op andere middelen. Proactief handelen is dus nodig.