研究人員表示，華碩制造的數(shù)千臺(tái)家用和小型辦公路由器正在感染一個(gè)隱蔽的后門，該后門可以在民族國家或其他資源充足的威脅行為者的攻擊中幸存下來。

未知攻擊者通過利用現(xiàn)已修補(bǔ)的漏洞來訪問這些設(shè)備，其中一些漏洞從未通過國際公認(rèn)的 CVE 系統(tǒng)進(jìn)行跟蹤。在獲得對(duì)設(shè)備的未經(jīng)授權(quán)的管理控制權(quán)后，威脅行為者會(huì)安裝一個(gè)公共加密密鑰，以便通過 SSH 訪問設(shè)備。從那時(shí)起，任何擁有私鑰的人都可以使用管理系統(tǒng)權(quán)限自動(dòng)登錄設(shè)備。

持久控制

“攻擊者的訪問權(quán)限在重啟和固件更新后都仍然存在，使他們能夠?qū)κ苡绊懙脑O(shè)備進(jìn)行持久控制，”安全公司 GreyNoise 的研究人員周三報(bào)告說?！肮粽咄ㄟ^鏈接身份驗(yàn)證繞過、利用已知漏洞和濫用合法配置功能來保持長(zhǎng)期訪問，而不會(huì)丟棄惡意軟件或留下明顯的痕跡?！?/p>

GreyNoise 表示，它已經(jīng)跟蹤了全球大約 9,000 臺(tái)設(shè)備，這些設(shè)備在正在進(jìn)行的活動(dòng)中被后門。這個(gè)數(shù)字還在繼續(xù)增長(zhǎng)。公司研究人員表示，他們沒有跡象表明威脅行為者在任何活動(dòng)中部署了受感染的設(shè)備。相反，黑客攻擊似乎是威脅行為者積累大量受感染設(shè)備以備將來使用的開始階段。

GreyNoise 表示，它在 3 月中旬發(fā)現(xiàn)了該活動(dòng)，并推遲了報(bào)告，直到該公司通知了未具名的政府機(jī)構(gòu)。該細(xì)節(jié)進(jìn)一步表明，威脅行為者可能與某個(gè)民族國家有某種聯(lián)系。

該公司的研究人員繼續(xù)表示，他們觀察到的活動(dòng)是另一家安全公司 Sekoia 上周報(bào)告的更大規(guī)?；顒?dòng)的一部分。Sekoia 的研究人員表示，網(wǎng)絡(luò)情報(bào)公司 Censys 的互聯(lián)網(wǎng)掃描表明，多達(dá) 9,500 臺(tái)華碩路由器可能已經(jīng)被盜用 ViciousTrap，該名稱用于跟蹤未知威脅行為者。

攻擊者通過利用多個(gè)漏洞來為設(shè)備設(shè)置后門。GreyNoise 表示，一個(gè)是 CVE-2023-39780，這是一個(gè)允許執(zhí)行系統(tǒng)命令的命令注入缺陷，華碩在最近的固件更新中修補(bǔ)了該漏洞。其余漏洞也已修補(bǔ)，但由于未知原因尚未收到 CVE 跟蹤指定。

路由器用戶確定其設(shè)備是否被感染的唯一方法是檢查配置面板中的 SSH 設(shè)置。受感染的路由器將顯示設(shè)備可以通過端口 53282 使用截?cái)嗝荑€

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

要?jiǎng)h除后門程序，受感染的用戶應(yīng)刪除密鑰和端口設(shè)置。

如果系統(tǒng)日志表明他們已通過 IP 地址 101.99.91[.] 訪問，人們還可以確定他們是否成為目標(biāo)。151, 101.99.94[.]173, 79.141.163[.]179 或 111.90.146[.]237. 任何路由器品牌的用戶都應(yīng)始終確保他們的設(shè)備及時(shí)收到安全更新。