网络安全公司GreyNoise警告称,华硕(Asus)路由器用户可能仍处于隐秘后门攻击威胁中,即便已更新固件仍无法彻底清除隐患。该公司在5月28日与政府及行业合作伙伴协调后披露了这项发现。
2025年3月18日,GreyNoise通过其人工智能网络分析工具Sift首次捕捉到异常活动。该系统监测到大量针对互联网暴露面的华硕路由器的异常HTTP POST请求,这些设备均运行出厂固件。受波及机型包括热销款RT-AC3100、RT-AC3200和RT-AX55,深入调查显示该隐蔽入侵活动已潜伏数月未被察觉。
攻击者通过薄弱凭证和两处认证绕过漏洞侵入系统,继而利用已修补的华硕路由器漏洞CVE-2023-39780执行命令。不同于传统恶意软件植入,黑客通过华硕合法设置启用了53282端口的SSH访问,并植入其SSH公钥。这些改动被写入非易失性存储器,使得后门在固件更新和重启后依然存活。攻击者还提前关闭了日志记录功能以规避监测。
GreyNoise指出,虽然尚未锁定具体攻击组织,但其手法复杂度符合高级持续性威胁(APT)特征。相关基础设施明显为长期潜伏设计,可能隶属于更大的命令控制或中继网络。三个月内仅观测到30次相关请求,但Censys扫描数据显示截至5月27日已有超过9000台华硕路由器出现感染迹象,且数量持续攀升。
尽管华硕已在最新固件中修复CVE-2023-39780漏洞,并解决了未公开的登录绕过问题,但已遭入侵且未清除SSH访问权限的设备仍存在风险,补丁亦无法消除既有感染。
防护建议
检测TCP/53282端口的SSH访问状态
核查authorized_keys文件中的异常条目
封锁攻击相关IP:101.99.91.151、101.99.94.173、79.141.163.179、111.90.146.237
若怀疑设备已遭入侵,需执行完整恢复出厂设置并手动重新配置
常规防护措施
定期更新路由器固件,及时修补安全漏洞
修改默认管理密码及Wi-Fi密码,采用高强度组合
非必要情况下禁用远程管理功能
定期审计路由器设置,排查异常SSH密钥、开放端口或未知配置
启用网络防火墙拦截可疑流量
关注华硕等厂商发布的安全通告获取最新威胁情报
