Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

TnewsTnews
Information Security

Ribuan Router Asus Terinfeksi Botnet, Backdoor SSH Persisten dan Kebal dari Update Firmware

By - Fuad May 26, 2025 Comments (0) 4 Mins Read
Ribuan Router Asus Terinfeksi Botnet, Backdoor SSH Persisten dan Kebal dari Update Firmware

Sebuah botnet yang baru ditemukan bernama ‘AyySSHush’ telah berhasil mengkompromikan ribuan router buatan Asus. Serangan siber yang bersifat siluman (stealth) ini pertama kali terdeteksi pada Maret 2025 oleh firma keamanan siber GreyNoise. Laporan menyebutkan bahwa serangan ini mengeksploitasi proses otentikasi dan memanfaatkan fitur bawaan router untuk mempertahankan akses jangka panjang. Yang paling mengkhawatirkan, backdoor yang ditanamkan tidak menggunakan malware apa pun dan akses tidak sah tersebut tidak dapat dihapus hanya dengan melakukan update firmware.

Tahapan dan Teknik Serangan

Serangan dimulai ketika para aktor ancaman menargetkan router melalui upaya login brute-force dan mengeksploitasi teknik authentication bypass (celah bypass otentikasi), beberapa di antaranya bahkan belum terdokumentasi dan tidak memiliki kode CVE yang ditetapkan.

Setelah berhasil masuk, penyerang akan mengeksploitasi CVE-2023-39780, sebuah kerentanan command injection yang sudah diketahui, untuk mengeksekusi perintah sewenang-wenang pada level sistem. Teknik ini memungkinkan penyerang untuk memanipulasi konfigurasi router dengan menggunakan fungsi-fungsi yang sah di dalam firmware.

Penyerang menggunakan fitur resmi router Asus untuk mendapatkan akses yang persisten. Mereka mengaktifkan SSH pada port non-standar (TCP 53282) dan menginstal kunci public SSH mereka sendiri, yang memberikan mereka kendali administratif jarak jauh. Karena backdoor ini ditulis ke dalam memori non-volatil router (NVRAM), ia dapat bertahan meskipun perangkat di-reboot atau firmware-nya diperbarui.

Selain itu, untuk menghindari deteksi, penyerang menonaktifkan system logging dan fitur keamanan bawaan router, AiProtection.

Skala dan Sifat Serangan yang Tersembunyi

Menurut laporan GreyNoise, teknik yang digunakan oleh penyerang menunjukkan perencanaan yang matang untuk akses jangka panjang dan pemahaman mendalam tentang arsitektur sistem router Asus.

Berdasarkan data dari Censys, sebuah platform yang memantau dan memetakan perangkat yang terhubung ke internet secara global, lebih dari 9.000 router Asus telah terkonfirmasi berhasil dikompromikan. Censys mengidentifikasi perangkat mana saja yang terekspos ke internet, sementara GreyNoise mendeteksi perangkat mana dari jumlah tersebut yang sedang aktif ditargetkan atau dieksploitasi. Kombinasi data ini memberikan gambaran yang lebih jelas tentang skala dan sifat tersembunyi dari kampanye serangan yang sedang berlangsung.

Penemuan eksploitasi ini dilakukan menggunakan alat analisis berbasis AI milik GreyNoise yang disebut ‘Sift’. Alat ini menandai hanya tiga permintaan HTTP POST yang menargetkan endpoint router Asus untuk diperiksa lebih dalam. Yang mengejutkan, ‘Sift’ hanya mendeteksi 30 permintaan berbahaya selama periode tiga bulan, meskipun berhasil mengkompromikan ribuan perangkat.

Update Firmware Tidak Cukup, Diperlukan Factory Reset

Asus telah merilis update firmware baru yang menambal kerentanan CVE-2023-39780 serta teknik login bypass yang sebelumnya tidak terdokumentasi. Namun, pembaruan ini lebih bersifat sebagai tindakan pencegahan.

Untuk router yang sudah dieksploitasi sebelumnya, meng-upgrade firmware tidak akan menghapus backdoor SSH tersebut. Hal ini karena perubahan konfigurasi berbahaya disimpan di dalam NVRAM dan tidak ditimpa selama proses upgrade firmware standar.

Untuk memastikan router benar-benar aman, pengguna disarankan untuk mengambil langkah-langkah manual tambahan, termasuk:

  • Memeriksa akses SSH yang aktif pada port TCP 53282.
  • Meninjau file authorized_keys untuk entri kunci yang tidak dikenal.
  • Memblokir alamat IP berbahaya yang diketahui terkait dengan kampanye ini.

Jika sebuah perangkat dicurigai telah terkompromikan, tindakan terbaik adalah melakukan factory reset penuh dan kemudian mengkonfigurasi ulang router dari awal.

Kesimpulan

Serangan botnet ‘AyySSHush’ menyoroti tingkat kecanggihan dari ancaman siber modern yang menargetkan perangkat IoT seperti router. Dengan mengeksploitasi kerentanan command injection dan menulis konfigurasi backdoor ke NVRAM, penyerang berhasil menciptakan akses persisten yang tidak dapat dihilangkan oleh update firmware biasa. Insiden ini menegaskan bahwa untuk jenis kompromi tertentu yang memanipulasi konfigurasi level rendah, pembaruan perangkat lunak saja tidak cukup. Solusi satu-satunya bagi perangkat yang telah terinfeksi adalah dengan melakukan factory reset untuk membersihkan semua konfigurasi berbahaya dan memulai kembali dari keadaan pabrikan.

Poin Kunci Pembelajaran

  • Persistensi di Luar Firmware: Serangan ini adalah contoh nyata bagaimana backdoor dapat ditanamkan pada level konfigurasi (NVRAM), membuatnya kebal terhadap siklus reboot dan update firmware. Ini adalah teknik persistensi tingkat lanjut yang harus diwaspadai.
  • Update Firmware Bukan Solusi Mutlak: Pengguna seringkali menganggap update firmware sebagai solusi untuk semua masalah keamanan. Kasus ini mengajarkan bahwa untuk kompromi yang mendalam, tindakan yang lebih drastis seperti factory reset sangat diperlukan.
  • Efektivitas Serangan Low and Slow: Dengan hanya 30 permintaan berbahaya dalam tiga bulan untuk mengkompromikan ribuan perangkat, serangan ini menunjukkan bagaimana metode yang lambat dan tersembunyi (low and slow) dapat menghindari sistem deteksi tradisional.
  • Pentingnya Keamanan Lapis Pertama: Serangan ini dimulai dengan brute-force dan authentication bypass, yang menekankan kembali pentingnya fundamental keamanan siber, seperti menggunakan kata sandi yang kuat dan unik serta memastikan perangkat tidak terekspos ke internet dengan konfigurasi bawaan yang lemah.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts

Anatomi Kegagalan OTP: Mengapa Account Takeover (ATO) Tetap Merajalela di Tahun 2026?Application Security

Anatomi Kegagalan OTP: Mengapa Account Takeover

BY-Fuad February 16, 2026
Ekosistem Keamanan Siber dan Tantangan Menuju 2030Application Security

Ekosistem Keamanan Siber dan Tantangan Menuju

BY-Fuad February 10, 2026
OPERASI CARACAS: ANATOMI PERANG MODERN DAN PELAJARAN KEDAULATAN DIGITAL UNTUK INDONESIACyber War

OPERASI CARACAS: ANATOMI PERANG MODERN DAN

BY-Fuad January 6, 2026
OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN PRESIDEN VENEZUELACase Studies

OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN

BY-Fuad January 6, 2026
Membedah Infrastruktur LockBit 5.0 yang Terekspos Akibat Kelalaian OPSECCase Studies

Membedah Infrastruktur LockBit 5.0 yang Terekspos

BY-Fuad December 10, 2025
AI Menambal Kode, Siapa Menambal Krisis Talenta Siber Indonesia?Application Security

AI Menambal Kode, Siapa Menambal Krisis

BY-Fuad October 20, 2025