数以千计的华硕无线路由器遭到僵尸网络的攻击,该僵尸网络也一直以 Cisco、D-Link 和 Linksys 设备为目标。路由器被感染的方式意味着即使固件更新,它们仍然处于攻击者的控制之下……
### 华硕无线路由器受损
Greynoise的安全研究人员在 3 月份首次发现了该漏洞,但推迟了将其公开,直到行业有时间协调应对措施。
GreyNoise 发现了一个正在进行的漏洞利用活动,攻击者在未经授权的情况下持续访问了数千台暴露在互联网上的华硕路由器。这似乎是组装分布式后门设备网络的秘密行动的一部分——可能为未来的僵尸网络奠定基础 […]
攻击者的访问权限在重启和固件更新后都有效,从而使他们能够持久控制受影响的设备。攻击者通过链接身份验证绕过、利用已知漏洞和滥用合法配置功能来保持长期访问,而不会丢弃恶意软件或留下明显的痕迹。
据信,一个民族国家可能是攻击的幕后黑手,并且它计划使用受感染的路由器进行大规模攻击。
受影响的华硕路由器包括 RT-AC3100、RT-AC3200 和 RT-AX55。
Bleeping Computer 指出,一旦您的路由器遭到入侵,更新固件就为时已晚。
此修改允许威胁行为者保留对设备的后门访问权限,即使在重启和固件更新之间也是如此。“因为这个密钥是使用华硕官方功能添加的,所以这个配置更改在固件升级中保持不变,”GreyNoise 的另一份相关报告解释说。
“如果您以前曾被利用,升级固件不会删除 SSH 后门。”
该漏洞还关闭了日志记录,因此很难判断您的路由器是否受到威胁。
### 做什么
如果您有列出的华硕型号之一,建议将路由器恢复出厂设置,这是确保其清洁的唯一方法。之后,进行固件更新。虽然更新本身不会消除感染,但在完全重置后进行更新可以防止感染再次受到威胁。
没有关于其他品牌成功感染的消息,因此无需对这些品牌采取任何行动。
您可以通过 atGreynoise 了解更多信息。
图片:我们来自华硕和 Mathias RedingonUnsplash 的图片拼贴
