华硕(Asus)针对近期引起广泛关注的僵尸网络攻击事件发布了多份声明,该攻击已感染超过9000台路由器。根据之前的报道,“AyySSHush”僵尸网络通过结合暴力破解和认证绕过的方式入侵设备,并将后门程序隐藏在非易失性存储器中,以此规避固件更新和重置操作。
针对此安全隐患,华硕在向Tom's Hardware提供的官方声明中指出:未受感染的设备可以通过预防措施避免漏洞,而已遭入侵的路由器则可以通过修复方案解决。攻击者利用已知的命令注入漏洞CVE-2023-39780,在自定义端口(TCP/53282)上开启SSH访问权限,并植入攻击者控制的公钥以实现远程控制。
该漏洞已经在华硕的最新固件更新中修复,官方建议所有路由器用户立即升级固件。更新后需要执行恢复出厂设置,并设置高强度管理员密码。对于已终止支持的老旧机型用户,或具备技术能力希望避免重置的用户,华硕建议“禁用所有远程访问功能(包括SSH、DDNS、AiCloud及WAN端Web访问),并确保SSH(尤其是TCP 53282端口)未暴露在公网环境中。”
安全公司GreyNoise在今年3月首次发现了“AyySSHush”僵尸网络,并于5月通过其AI监控系统Sift发布了公开警报。该公司将攻击者描述为“资源充足且能力高超的敌对势力”,但未指认具体组织。截至发稿时,受感染的路由器数量已超过9500台(可通过Censys查询)。目前,该僵尸网络的活动频率非常低,在三个月内仅记录到30次相关请求。
华硕向Tom's Hardware特别说明,在漏洞被广泛披露后,已经向相关用户推送了固件更新通知。用户还可以通过产品安全公告页面和专项知识库文章获取解决方案。该公司强调,早在GreyNoise报告发布之前,就已经针对RT-AX55等机型推送了固件更新以修复这个已知漏洞——CVE-2023-39780漏洞记录显示,华硕在最新报告发布前就已经知晓该漏洞。
华硕路由器用户应该检查SSH服务是否暴露在公共网络中,并查看路由器日志中是否有异常登录失败记录或陌生的SSH密钥。将路由器长期暴露在公共网络环境中非常不安全,本次绝大多数受感染的设备都是因为终端用户没有采取基本防护措施造成的。网络安全无小事,及时更新联网设备的固件始终是最佳防护策略。
