网络安全公司GreyNoise于2025年3月发现,新型僵尸网络“AyySSHush”已入侵数千台华硕(Asus)路由器。该隐蔽攻击通过身份验证漏洞利用路由器功能维持长期访问权限。值得注意的是,这种后门程序不依赖任何恶意软件,且无法通过固件更新消除。
攻击者首先通过暴力登录尝试和未公开的认证绕过技术(部分漏洞尚未分配CVE编号)入侵路由器,随后利用已知命令注入漏洞CVE-2023-39780执行系统级指令。攻击者通过固件合法功能操控路由器配置,启用非标准端口(TCP 53282)的SSH服务并植入公钥获取远程控制权。由于后门被写入路由器非易失性存储器(NVRAM),其可抵御固件升级和设备重启。攻击者还通过禁用系统日志和AiProtection安全功能确保隐蔽性。
GreyNoise报告指出,攻击手法显示攻击者对系统架构有深入研究。全球互联网设备测绘平台Censys数据显示,超9000台华硕路由器已确认遭入侵。GreyNoise通过AI分析工具“Sift”发现该漏洞,尽管三个月内仅检测到30次恶意请求,却导致数千设备沦陷。
华硕虽已发布固件更新修复CVE-2023-39780及初始漏洞,但该更新仅具预防作用。已遭入侵的路由器因恶意配置存储于非易失性存储器,固件升级无法清除SSH后门。安全专家建议用户采取以下措施:
检查TCP 53282端口SSH访问状态
核查authorized_keys文件异常条目
屏蔽相关恶意IP地址
若怀疑设备被入侵,建议执行完全恢复出厂设置并重新配置路由器。
