数以千计的华硕路由器正遭受隐蔽、持久的后门攻击

研究人员表示，华硕制造的数千台家用和小型办公路由器正在感染一个隐蔽的后门，该后门可以在民族国家或其他资源充足的威胁行为者的攻击中幸存下来。

未知攻击者通过利用现已修补的漏洞来访问这些设备，其中一些漏洞从未通过国际公认的 CVE 系统进行跟踪。在获得对设备的未经授权的管理控制权后，威胁行为者会安装一个公共加密密钥，以便通过 SSH 访问设备。从那时起，任何拥有私钥的人都可以使用管理系统权限自动登录设备。

持久控制

“攻击者的访问权限在重启和固件更新后都仍然存在，使他们能够对受影响的设备进行持久控制，”安全公司 GreyNoise 的研究人员周三报告说。“攻击者通过链接身份验证绕过、利用已知漏洞和滥用合法配置功能来保持长期访问，而不会丢弃恶意软件或留下明显的痕迹。”

GreyNoise 表示，它已经跟踪了全球大约 9,000 台设备，这些设备在正在进行的活动中被后门。这个数字还在继续增长。公司研究人员表示，他们没有迹象表明威胁行为者在任何活动中部署了受感染的设备。相反，黑客攻击似乎是威胁行为者积累大量受感染设备以备将来使用的开始阶段。

GreyNoise 表示，它在 3 月中旬发现了该活动，并推迟了报告，直到该公司通知了未具名的政府机构。该细节进一步表明，威胁行为者可能与某个民族国家有某种联系。

该公司的研究人员继续表示，他们观察到的活动是另一家安全公司 Sekoia 上周报告的更大规模活动的一部分。Sekoia 的研究人员表示，网络情报公司 Censys 的互联网扫描表明，多达 9,500 台华硕路由器可能已经被盗用 ViciousTrap，该名称用于跟踪未知威胁行为者。

攻击者通过利用多个漏洞来为设备设置后门。GreyNoise 表示，一个是 CVE-2023-39780，这是一个允许执行系统命令的命令注入缺陷，华硕在最近的固件更新中修补了该漏洞。其余漏洞也已修补，但由于未知原因尚未收到 CVE 跟踪指定。

路由器用户确定其设备是否被感染的唯一方法是检查配置面板中的 SSH 设置。受感染的路由器将显示设备可以通过端口 53282 使用截断密钥

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

要删除后门程序，受感染的用户应删除密钥和端口设置。

如果系统日志表明他们已通过 IP 地址 101.99.91[.] 访问，人们还可以确定他们是否成为目标。151, 101.99.94[.]173, 79.141.163[.]179 或 111.90.146[.]237. 任何路由器品牌的用户都应始终确保他们的设备及时收到安全更新。