Sebuah serangan siber canggih telah mengompromikan lebih dari 9.000 router Asus di seluruh dunia, dengan para peneliti keamanan memperingatkan bahwa kampanye ini tampaknya sedang mempersiapkan dasar untuk operasi botnet skala besar di masa depan. Serangan yang dijuluki AyySSHush ini merupakan eskalasi yang mengkhawatirkan dalam ancaman yang menargetkan peralatan jaringan konsumen.
Kronologi dan Skala Serangan
- Serangan ditemukan: 18 Maret 2025
- Pengungkapan publik: Mei 2025
- Perangkat yang terdampak: Lebih dari 9.500 router Asus (dan terus bertambah)
- Permintaan berbahaya yang diamati: Hanya 30 selama 3 bulan
Metode Serangan Canggih Menargetkan Kerentanan Router
Para penjahat siber di balik kampanye ini menggunakan berbagai teknik canggih untuk mendapatkan akses tidak sah ke router Asus . Mereka memanfaatkan serangan brute-force login yang dikombinasikan dengan dua metode bypass autentikasi yang berbeda, sekaligus mengeksploitasi kerentanan yang sebelumnya tidak diketahui dan belum menerima penunjukan CVE resmi. Setelah berhasil masuk ke dalam sistem, penyerang memanfaatkan celah keamanan yang dikenal sebagai CVE-2023-39780 untuk menjalankan perintah sistem secara sembarangan dan membangun akses yang persisten.
Detail Teknis
- Kerentanan utama: CVE-2023-39780 (celah injeksi perintah)
- Lokasi backdoor: Memori non-volatile ( NVRAM )
- Port akses SSH : TCP/53282
- Alamat IP berbahaya yang harus diblokir: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237
Backdoor Persisten Bertahan Meski Ada Pembaruan Firmware
Yang membuat serangan ini sangat mengkhawatirkan adalah penggunaan memori non-volatile ( NVRAM ) oleh penyerang untuk menyimpan backdoor mereka. Penempatan strategis ini berarti bahwa titik akses berbahaya tetap utuh bahkan setelah pengguna me-restart router mereka atau memperbarui firmware. Para penjahat juga menonaktifkan fungsi logging untuk menutupi jejak mereka, menunjukkan tingkat kesadaran keamanan operasional yang tinggi yang oleh perusahaan keamanan GreyNoise dikaitkan dengan aktor advanced persistent threat ( APT ).
 |
|---|
| Router Asus , mirip dengan yang dikompromikan dalam serangan siber baru-baru ini, menyoroti kerentanan pada perangkat jaringan konsumen |
Operasi Siluman Menunjukkan Keterlibatan Nation-State
Meskipun jumlah perangkat yang dikompromikan besar, para peneliti hanya mengamati 30 permintaan akses terkait selama periode tiga bulan, menunjukkan bahwa kampanye ini berjalan secara perlahan dan sengaja. Analisis GreyNoise menunjukkan bahwa pendekatan yang terukur ini konsisten dengan aktor nation-state atau kelompok yang bekerja atas nama pemerintah yang bermusuhan. Perusahaan keamanan tersebut sengaja menunggu dari bulan Maret hingga Mei untuk mengungkapkan temuan mereka secara publik, memberikan waktu untuk berkonsultasi dengan mitra pemerintah dan industri tentang implikasinya.
Ancaman yang Berkembang terhadap Infrastruktur Jaringan Konsumen
Serangan ini menyoroti tren yang meningkat dari penjahat siber yang menargetkan peralatan jaringan rumah dan bisnis kecil. John Bambenek , presiden Bambenek Consulting , mencatat bahwa penyerang canggih semakin fokus pada perangkat-perangkat ini untuk tujuan di luar operasi cryptomining sederhana. Meskipun pengguna rumah tangga menghadapi risiko langsung yang minimal, router mereka yang dikompromikan menjadi peserta yang tidak sadar dalam serangan terhadap target lain, berpotensi menyebabkan peningkatan tantangan keamanan selama penggunaan internet rutin.
Asus Merespons dengan Patch dan Panduan Pengguna
Asus telah mengeluarkan panduan komprehensif untuk pengguna yang terkena dampak, mengonfirmasi bahwa kerentanan CVE-2023-39780 telah diperbaiki dalam pembaruan firmware terbaru. Perusahaan mengirim notifikasi push kepada pengguna yang berlaku dan memperbarui sumber daya nasihat keamanan mereka. Namun, untuk router yang sudah dikompromikan, Asus merekomendasikan proses remediasi multi-langkah termasuk menonaktifkan akses SSH , memblokir alamat IP berbahaya tertentu, dan melakukan factory reset diikuti dengan rekonfigurasi manual.
Langkah-langkah Remediasi untuk Router yang Terkompromi
- Perbarui firmware ke versi terbaru
- Lakukan reset pabrik
- Nonaktifkan akses SSH atau hapus kunci SSH berbahaya
- Blokir alamat IP berbahaya yang teridentifikasi
- Tetapkan kata sandi administrator yang kuat
- Nonaktifkan fitur akses jarak jauh (SSH, DDNS, AiCloud, Akses Web dari WAN)
Langkah-langkah Deteksi dan Pencegahan
Pengguna dapat memeriksa apakah router mereka telah dikompromikan dengan memeriksa pengaturan SSH perangkat mereka untuk akses tidak sah yang dikonfigurasi pada port 53282. Konfigurasi berbahaya tersebut mencakup kunci publik SSH yang dipotong secara spesifik yang dimulai dengan ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ. Para ahli keamanan merekomendasikan untuk menonaktifkan semua fitur akses jarak jauh termasuk SSH , DDNS , AiCloud , dan Web Access from WAN sebagai langkah pencegahan, mencatat bahwa sebagian besar pengguna jarang memerlukan antarmuka administratif ini untuk diaktifkan.