Kommentare zu folgendem Beitrag: Zehntausende ASUS-Router sind unter fremder Kontrolle
Die „Operation WrtHug“ ist eine große Cyber-Angriffskampagne auf ASUS-Router. Wir erklären, wie sie funktioniert und man sie abwehren kann.
Kommentare zu folgendem Beitrag: Zehntausende ASUS-Router sind unter fremder Kontrolle
Dieser angesprochene Payload nutzt CVE-2023-39780 aus , eine Schwachstelle bei der authentifizierten Befehlsinjektion in ASUS RT-AX55 v3.0.0.4.386.51598, die es Angreifern ermöglicht, beliebige Systembefehle auszuführen.
Der ausgeführte Befehl lautet: touch /tmp/BWSQL_LOG, was… höchst ungewöhnlich ist. Es stellt sich heraus, dass die Existenz dieser Datei die „ und W - SQL - Dateiprotokollierung B- “ aktiviert.
Anders ausgedrückt: Der ASUS-Router verfügt über etwa 40 Funktionen. bwsdpi_sqlite Binärdateien, die dem Folgenden ähneln. Übergabe potenziell benutzergesteuerter Daten an eine Formatzeichenfolge und dann direkt an eine system() Aufruf, der häufig für Befehlseinschleusung missbraucht wird.
Dies scheint ein riesiger Designfehler zu sein, der schon im Februar 2025 komplett analysiert und simuliert werden konnte! Dieser Fehler führt letzten Endes dazu, dass die Angreifer auch nach den FW-Updates etc. weiterhin die volle Kontrolle über das Gerät behalten. Sie und ihr Payload werden quasi als Teil der Firmware einfach mit hochgefahren!!
Hier die vollst. Aufdeckung der ominösen
CVE usw. → https://leeyabug.top/ASUS-SQLI
BTW → Auch sehr aufschlußreich:
1 „Gefällt mir“
Hier nur mal zwei Beispiele, wie easy-peasy man auf die betroffenen Router kommt…
https://49.245.123.115:8443/Main_Login.asp
https://188.148.14.86:8443/Main_Login.asp
Payload hochschubsen wohl auch kein Problem:
genau deshalb war es ja einen Artikel wert
Axxo, dachte der Artikel sollte eine Anregung zu DIY sein…?!
Btw: Gibt in div. Shodan-Groups schon länger nette Racings diesbezüglich.
shodan empfehle ich hier extra nicht, aufgrund des Hackerparagraphs, aber sonst ja. shodan ist nice und lädt förmlich zu Dummheiten ein
1 „Gefällt mir“