华硕(Asus)就近期备受关注的僵尸网络攻击事件发布多份声明。截至当前,已有超过9000台路由器被感染。据我们此前报道,“AyySSHush”僵尸网络通过暴力破解与认证绕过双重手段入侵设备,并将后门程序植入非易失性存储器,以此规避固件更新与重置操作。
针对该安全漏洞,华硕在官方声明中表示:未感染设备可通过防护措施避免风险,已遭入侵的路由器则需进行修复。攻击者利用已知命令注入漏洞CVE-2023-39780,在自定义端口(TCP/53282)开启SSH访问权限,并植入攻击者控制的公钥实现远程操控。该漏洞已在最新固件更新中修复,华硕建议所有用户立即升级固件,随后执行恢复出厂设置并设置高强度管理员密码。
对于已终止技术支持的路由器用户,或具备技术能力且不愿重置设备的用户,华硕建议“禁用所有远程访问功能(包括SSH、DDNS、AiCloud及WAN端网页访问),并确认SSH服务(特别是TCP 53282端口)未暴露在公网环境中”。
该僵尸网络由安全公司GreyNoise于今年3月首次发现,5月通过其人工智能监控系统Sift发布预警。GreyNoise将攻击者定性为“资源充足且能力高超的对手”,但未指认具体组织。根据Censys统计(当前受感染设备已超9500台),该僵尸网络活动量极低——三个月内仅记录到30次相关请求。
华硕向Tom's Hardware特别说明:在漏洞被广泛披露后,已向相关用户推送固件更新通知。用户可通过产品安全公告页及专项知识库文章获取支持。公司强调早在GreyNoise报告发布前,就已针对RT-AX55等型号推送固件更新以修复该已知漏洞。CVE-2023-39780漏洞记录显示,华硕在最新报告出炉前便已知晓该漏洞。
华硕路由器用户应确认SSH服务未对外开放,并检查路由器日志中是否存在重复登录失败记录或可疑SSH密钥。将路由器暴露于公网访问环境极具风险,本次绝大多数受感染设备均因终端用户维持高危运行状态所致。网络安全无小事,确保路由器等联网设备运行最新固件才是万全之策。
