黑客正在为数千台华硕(ASUS)路由器植入持久性后门。这意味着即使设备重启或更新固件,该后门仍会存在。此次攻击活动主要针对家用和小型办公室路由器。
安全公司 GreyNoise 在今年 3 月发现了这次攻击活动。攻击者利用暴力破解和已打过补丁的漏洞(包括 CVE-2023-39780,一个允许攻击者在系统上执行自定义命令的命令注入漏洞)进行入侵。此外,攻击还利用了一些从未获得 CVE 编号的漏洞。一旦成功入侵,攻击者会安装一个公开加密密钥,以便通过 SSH 访问设备。这样,任何拥有相应私钥的人都可通过管理员权限登录设备。
GreyNoise 指出,该后门被存储在 NVRAM 中,因此在固件升级或设备重启时不会被删除。此外,攻击者没有安装恶意软件,并关闭了日志记录,以避免被检测。
据安全研究人员称,至少有 9000 台华硕路由器受到此次攻击的影响,且这一数字仍在增长。研究人员怀疑攻击者正在收集大量受感染设备,以备将来使用。目前还没有迹象表明这些受感染的路由器已被用于其他活动。 Ars Technica 表示,此次攻击主要针对家用和小型办公室路由器。
此次攻击的幕后黑手尚不清楚。但 GreyNoise 认为,所使用的策略让人联想到国家级黑客。 GreyNoise 表示:“虽然 GreyNoise 没有将此次攻击归因于特定组织,但其精湛的技术水平表明对手拥有充足的资源和强大的能力。” 尽管此次攻击活动早在 3 月就被发现,但 GreyNoise 决定等到华硕通知了某些政府机构后才发布报告。具体是哪些机构尚不得而知。
GreyNoise 在其博客中提供了用户如何检查路由器是否受到感染的方法:需要检查是否可以通过 TCP/53282 端口进行 SSH 访问。如果路由器被确认受到威胁,GreyNoise 建议将其恢复到出厂设置并手动重新配置。
