Tausende ASUS-Router für Botnetz AyySSHush kompromittiert

Sicherheitsforschende des Cybersicherheitsunternehmens GreyNoise publizierten am 28. Mai 2025 eine Warnmeldung zu tausendfach kompromittierten Routern des Unternehmens ASUS. Über Brute-Force-Angriffe, das Umgehen von Authentifizierungsmechanismen und vor allem die Ausnutzung der älteren Schwachstelle CVE-2023-39780 (CVSS-Score 8.8/10) griffen Kriminelle auf die ASUS-Geräte zu. Dort installierten die Angreifenden SSH-Backdoors und integrierten so die Router mutmaßlich in das Botnetz AyySSHush.

Laut GreyNoise seien inzwischen über 9.000 ASUS-Router betroffen und die Zahl steige stetig. Ein Neustart eines betroffenen Geräts oder ein Update der Firmware seien bisher ergebnislos. GreyNoise habe den Hersteller ASUS bereits am 23. Mai 2025 über die Gefahr informiert. Das Unternehmen stellte daraufhin Sicherheitspatches bereit, deren Installation die SSH-Backdoors jedoch nicht entfernten. GreyNoise gibt in seiner unten verlinkten Warnmeldung Betroffenen Mitigationsmaßnahmen und IoCs an die Hand.

• Prüfen Sie Ihr System mit den verfügbaren IoCs auf Anzeichen einer Kompromittierung. Die IoCs finden Sie in der unten verlinkten Warnmeldung von GreyNoise.
• Prüfen Sie zusätzlich, ob Ihr ASUS-Router den SSH-Zugriff auf den Port TCP/53282 erlaubt.
• Prüfen Sie außerdem die Datei "authorized_keys" auf nicht autorisierte Einträge. 
• Wenn Sie eine Kompromittierung Ihres ASUS-Routers feststellen, setzen Sie das Gerät auf die Werkseinstellung zurück und konfigurieren Sie es manuell neu.