用华硕(ASUS)路由器的朋友注意了,哪怕你已经更新了固件,可能依然深陷“隐形后门”的泥潭。
网络安全公司 GreyNoise 爆料,华硕路由器被一种“隐形后门”入侵,更要命的是,这种后门在你更新固件后竟然还能继续作妖。GreyNoise 在和政府、行业伙伴协调后,于5月28日公布了他们的发现。
GreyNoise 最早是在2025年3月18日发现这次入侵事件的,他们用的工具是自家AI驱动的网络分析工具 Sift。当时,系统监测到了针对面向互联网的华硕路由器(运行出厂固件)发出的异常 HTTP POST 请求。
受到影响的路由器包括大家常用的 RT-AC3100、RT-AC3200 和 RT-AX55 型号。后续调查发现,这是一场相当隐蔽的入侵行动,竟然在好几个月里都无人察觉。
攻击者通过弱密码和两种认证绕过方式成功入侵了系统。接着,他们利用了华硕路由器已修复的漏洞 CVE-2023-39780 来执行命令。
让人震惊的是,他们没有直接安装恶意软件,而是利用华硕的合法设置,通过端口53282开启了 SSH 访问,并安装了他们的 SSH 公钥。这些修改被写入了非易失性存储器,这意味着这个后门就算在固件更新和重启之后也能继续存在。
在后门建立之前,日志功能就被禁用了,这让整个攻击过程得以“潜伏”而不被发现。
先进的隐匿技术暗示着长期预谋
GreyNoise 暂时还没把这次攻击归咎于某个特定组织,但他们表示,这种攻击手段的精妙程度与高级持续性威胁(APT)组织的手法高度吻合。这种基础设施的搭建,似乎是为了实现长期访问,很有可能是为了一个更大的命令与控制或中继网络作准备。
GreyNoise 在三个月内只观察到了30个相关的请求。然而,根据 Censys 的扫描数据,截至5月27日,超过9000个华硕路由器已经显示出被入侵的迹象,而且这个数字还在持续攀升。
IP 攻击指示器,图片来源:GreyNoise
华硕在最近的固件更新中修复了 CVE-2023-39780 漏洞。那些未被记录的登录绕过问题似乎也得到了解决。
但是,如果路由器在更新之前就已经被入侵,并且 SSH 访问已经建立但没有被移除,那么它们可能仍然存在漏洞。而且,这意味着即使打补丁了,感染也还在。
如何保护自己
GreyNoise 建议华硕路由器用户立即采取以下措施:
- 检查 TCP/53282 端口是否有 SSH 访问。
- 检查 authorized_keys 文件中是否有未知条目。
- 阻止以下与攻击相关的 IP 地址:101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237。
- 如果怀疑被入侵,请执行完整的出厂重置,并手动重新配置设备。
为了降低路由器被入侵的风险,遵循一些最佳实践至关重要。定期更新路由器的固件非常关键,因为安全补丁往往是抵御已知漏洞的唯一防线。
此外,更改路由器访问密码和 Wi-Fi 网络密码也是必不可少的。使用强壮且唯一的密码可以增强安全性。如果你不需要从本地网络之外访问,禁用远程管理是另一个有效的措施。
定期审计路由器设置可以帮助D发现未知的 SSH 密钥、开放的端口或不熟悉的配置。即使是简单的网络防火墙也能D阻止可疑的入站和出站流量。最后,查阅华硕等制造商的公告可以获取有关活动威胁的更新或警报。
