9,000대 이상의 Asus 라우터가 'AyySSHush'라는 봇넷에 의해 심각한 사이버 보안 침해를 당했습니다. 2025년 3월 GreyNoise에 의해 발견된 이 공격은 인증 취약점을 악용하여 공격자가 악성코드 없이 장기적으로 접근할 수 있도록 합니다. 이 방법은 무차별 로그인 시도와 CVE-2023-39780이라는 명령어 주입 취약점을 이용하여 임의의 시스템 수준 명령을 실행할 수 있게 합니다.
공격자들은 비표준 포트(TCP 53282)에서 SSH를 활성화하고 자신의 공개 SSH 키를 설치하는 등 공식 Asus 라우터 기능을 활용하여 지속적인 접근을 설정합니다. 이는 장기적인 접근을 위한 잘 계획된 전략을 나타내며, 공격자들이 라우터 아키텍처에 대한 깊은 이해를 가지고 있음을 보여줍니다. Asus가 취약점을 해결하기 위해 펌웨어 업데이트를 배포했음에도 불구하고, 이 업데이트는 비휘발성 메모리에 저장된 악성 구성을 제거하지 않기 때문에 백도어에 대해 효과적이지 않습니다.
사용자들은 지정된 포트에서 활성 SSH 접근을 확인하고, *authorized_keys* 파일에서 무단 항목을 검토하며, 알려진 악성 IP 주소를 차단하고, 침해가 의심될 경우 공장 초기화를 수행하는 등 수동 보안 조치를 취할 것을 권장합니다. 이 사건은 네트워크 장치를 관리하는 데 있어 강력한 보안 관행의 필요성을 강조하며, 특히 표준 펌웨어 보호를 우회할 수 있는 정교한 공격에 직면했을 때 더욱 중요합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.