一場複雜的網路攻擊活動成功攻陷了全球近9000臺 Asus 路由器,植入了即使在韌體更新和裝置重啟後仍保持活躍的永續性後門。這次攻擊由網路安全公司 GreyNoise 在2025年3月發現,利用多個漏洞建立長期未授權訪問,可能被用於構建大規模殭屍網路。
先進攻擊方法繞過標準安全措施
攻擊者採用多階段方法,首先針對特定 Asus 路由器型號使用身份驗證繞過技術。對於 RT-AC3200 和 RT-AC3100 路由器,威脅行為者利用未公開的漏洞,偽裝成合法的 Asus 使用者代理並操縱 cookie 解析來完全繞過身份驗證。GT-AC2900 和 Lyra Mini 裝置則受到 CVE-2021-32030 的攻擊,這是另一個身份驗證繞過漏洞,可授予未授權的管理員訪問許可權。
受影響的 Asus 路由器型號:
- RT-AC3200 和 RT-AC3100(未記錄的身份驗證繞過)
- GT-AC2900 和 Lyra Mini(CVE-2021-32030)
- RT-AX55 系列(CVE-2023-39780)
命令注入漏洞實現系統級控制
一旦進入路由器的管理介面,攻擊者利用 CVE-2023-39780,這是一個影響 RT-AX55 系列型號的命令注入漏洞。該缺陷允許惡意行為者透過路由器的頻寬 SQLite 日誌記錄功能執行任意系統命令,有效地讓他們完全控制裝置的配置和功能。
被利用的關鍵漏洞:
- 未記錄的身份驗證繞過漏洞(未分配 CVE 編號)
- CVE-2021-32030:身份驗證繞過漏洞
- CVE-2023-39780:透過頻寬 SQLite 日誌記錄進行命令注入
永續性後門設計在標準安全措施下仍能存活
這次攻擊最令人擔憂的方面在於其永續性機制。攻擊者不是安裝傳統惡意軟體,而是操縱合法的路由器功能來維持訪問許可權。他們在非標準埠 TCP 53282 上啟用 SSH 服務,並安裝自己的公鑰 SSH 金鑰進行遠端管理控制。關鍵的是,這些配置更改儲存在路由器的非易失性隨機存取儲存器(NVRAM)中,確保後門在韌體更新和裝置重啟後仍能存活。
攻擊特徵:
- 後門埠: TCP 53282 ( SSH 訪問)
- 儲存位置:非易失性隨機存取儲存器( NVRAM )
- 永續性:在韌體更新和重啟後仍然存在
- 規避檢測:停用日誌記錄和安全功能
隱蔽操作規避檢測系統
該活動在避免檢測方面表現出顯著的複雜性。攻擊者系統性地停用系統日誌記錄和 Asus 的 AiProtection 安全功能,使他們的存在對標準監控工具幾乎不可見。GreyNoise 的 AI 驅動分析工具 Sift 在三個月內僅檢測到30個惡意請求,儘管成功攻陷了數千臺裝置,這突顯了攻擊的隱蔽能力。
韌體更新對已攻陷裝置提供有限保護
雖然 Asus 已釋出解決被利用漏洞的韌體更新,但這些補丁主要作為未攻陷裝置的預防措施。已感染後門的路由器即使在韌體更新後仍將保留未授權訪問,因為惡意配置持續存在於標準升級程式不會覆蓋的非易失性儲存器中。
疑似被入侵裝置的修復步驟:
- 檢查 TCP 埠 53282 上的 SSH 訪問
- 檢查 authorized_keys 檔案中的未授權條目
- 阻止已知的惡意 IP 地址
- 執行完整的恢復出廠設定
- 從頭重新配置路由器
- 應用最新的韌體更新
受感染裝置需要完全恢復出廠設定
安全專家強烈建議可能受影響的 Asus 路由器型號使用者進行全面安全檢查。這包括檢查 TCP 埠53282是否存在未授權的 SSH 訪問,以及審查 authorized_keys 檔案中是否有不熟悉的條目。對於疑似受到攻陷的裝置,只有完全恢復出廠設定並進行完整重新配置才能消除永續性後門。使用者還應阻止與該活動相關的已知惡意 IP 地址,以防止重新感染。