數以千計的華碩路由器正遭受隱蔽、持久的后門攻擊

研究人員表示，華碩制造的數千臺家用和小型辦公路由器正在感染一個隱蔽的后門，該后門可以在民族國家或其他資源充足的威脅行為者的攻擊中幸存下來。

未知攻擊者通過利用現已修補的漏洞來訪問這些設備，其中一些漏洞從未通過國際公認的 CVE 系統進行跟蹤。在獲得對設備的未經授權的管理控制權后，威脅行為者會安裝一個公共加密密鑰，以便通過 SSH 訪問設備。從那時起，任何擁有私鑰的人都可以使用管理系統權限自動登錄設備。

持久控制

“攻擊者的訪問權限在重啟和固件更新后都仍然存在，使他們能夠對受影響的設備進行持久控制，”安全公司 GreyNoise 的研究人員周三報告說。“攻擊者通過鏈接身份驗證繞過、利用已知漏洞和濫用合法配置功能來保持長期訪問，而不會丟棄惡意軟件或留下明顯的痕跡。”

GreyNoise 表示，它已經跟蹤了全球大約 9,000 臺設備，這些設備在正在進行的活動中被后門。這個數字還在繼續增長。公司研究人員表示，他們沒有跡象表明威脅行為者在任何活動中部署了受感染的設備。相反，黑客攻擊似乎是威脅行為者積累大量受感染設備以備將來使用的開始階段。

GreyNoise 表示，它在 3 月中旬發現了該活動，并推遲了報告，直到該公司通知了未具名的政府機構。該細節進一步表明，威脅行為者可能與某個民族國家有某種聯系。

該公司的研究人員繼續表示，他們觀察到的活動是另一家安全公司 Sekoia 上周報告的更大規模活動的一部分。Sekoia 的研究人員表示，網絡情報公司 Censys 的互聯網掃描表明，多達 9,500 臺華碩路由器可能已經被盜用 ViciousTrap，該名稱用于跟蹤未知威脅行為者。

攻擊者通過利用多個漏洞來為設備設置后門。GreyNoise 表示，一個是 CVE-2023-39780，這是一個允許執行系統命令的命令注入缺陷，華碩在最近的固件更新中修補了該漏洞。其余漏洞也已修補，但由于未知原因尚未收到 CVE 跟蹤指定。

路由器用戶確定其設備是否被感染的唯一方法是檢查配置面板中的 SSH 設置。受感染的路由器將顯示設備可以通過端口 53282 使用截斷密鑰

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

要刪除后門程序，受感染的用戶應刪除密鑰和端口設置。

如果系統日志表明他們已通過 IP 地址 101.99.91[.] 訪問，人們還可以確定他們是否成為目標。151, 101.99.94[.]173, 79.141.163[.]179 或 111.90.146[.]237. 任何路由器品牌的用戶都應始終確保他們的設備及時收到安全更新。