摘要:
5月29日消息,网络安全平台GreyNoise昨日(5月28日)发布博文,报道称在一场持续的网络攻击中,近9000台华硕...
5月29日消息,网络安全平台GreyNoise昨日(5月28日)发布博文,报道称在一场持续的网络攻击中,近9000台华硕路由器被植入后门,未来可能被用于构建僵尸网络。
目前华硕已发布固件修复。注:若设备在更新固件前已被植入后门,需先完全恢复出厂设置并重新配置。报告介绍了身份认证绕过访问(尚未分配CVE编号和CVE-2021-32030)和命令执行(CVE-2023-39780)方面的漏洞。在身份绕过方面,尚未分配CVE编号的漏洞影响华硕
RT-AC3200和RT-AC3100路由器,攻击者通过伪装成华硕用户代理“asusrouter--”以及使用“asus_token=”cookie后跟一个空字节,在身份验证过程中提前终止字符串解析,从而绕过身份验证。而CVE-2021-32030漏洞专门针对
华硕GT-AC2900和LyraMini设备,可以绕过身份验证。攻击者一旦获得认证访问权限,便可以利用内置设置和安全漏洞在TCP/53282建立SSH连接,并为持久的远程访问设置一个由攻击者控制的公钥。在命令执行方面,该公司发现了针对
华硕RT-AX55系列型号的CVE-2023-39780漏洞,攻击者利用BandwidthSQLiteLogging(BWSQL)嵌入日志功能,激活脚本注入,执行用户控制的数据。截至5月27日,根据该机构的扫描数据,
全球有将近9000台华硕路由器确认被入侵。这些攻击中的后门配置并非存储在硬盘上,而是存储在非易失性随机存取存储器(NVRAM)中,
因此重启和固件更新无法清除。GreyNoise警告,
若路由器在更新前已被攻破,后门将持续存在,除非手动检查并移除SSH访问。建议用户对疑似受感染设备进行完全恢复出厂设置并重新配置,检查TCP/53282端口的SSH访问及authorized_keys文件中的未授权条目。
