華碩路由器漏洞被修復(fù)：影響近 9000 臺(tái)，被利用可構(gòu)建僵尸網(wǎng)絡(luò)

IT之家 5 月 29 日消息，網(wǎng)絡(luò)安全平臺(tái) GreyNoise 昨日（5 月 28 日）發(fā)布博文，報(bào)道稱在一場(chǎng)持續(xù)的網(wǎng)絡(luò)攻擊中，近 9000 臺(tái)華碩路由器被植入后門，未來(lái)可能被用于構(gòu)建僵尸網(wǎng)絡(luò)。

目前華碩已發(fā)布固件修復(fù)。IT之家注：若設(shè)備在更新固件前已被植入后門，需先完全恢復(fù)出廠設(shè)置并重新配置。

報(bào)告介紹了身份認(rèn)證繞過(guò)訪問(wèn)（尚未分配 CVE 編號(hào)和 CVE-2021-32030）和命令執(zhí)行（CVE-2023-39780）方面的漏洞。

在身份繞過(guò)方面，尚未分配 CVE 編號(hào)的漏洞影響華碩 RT-AC3200 和 RT-AC3100 路由器，攻擊者通過(guò)偽裝成華碩用戶代理“asusrouter--”以及使用“asus_token=”cookie 后跟一個(gè)空字節(jié)，在身份驗(yàn)證過(guò)程中提前終止字符串解析，從而繞過(guò)身份驗(yàn)證。

而 CVE-2021-32030 漏洞專門針對(duì)華碩 GT-AC2900 和 Lyra Mini 設(shè)備，可以繞過(guò)身份驗(yàn)證。

攻擊者一旦獲得認(rèn)證訪問(wèn)權(quán)限，便可以利用內(nèi)置設(shè)置和安全漏洞在 TCP / 53282 建立 SSH 連接，并為持久的遠(yuǎn)程訪問(wèn)設(shè)置一個(gè)由攻擊者控制的公鑰。

在命令執(zhí)行方面，該公司發(fā)現(xiàn)了針對(duì)華碩 RT-AX55 系列型號(hào)的 CVE-2023-39780 漏洞，攻擊者利用 Bandwidth SQLite Logging（BWSQL）嵌入日志功能，激活腳本注入，執(zhí)行用戶控制的數(shù)據(jù)。

截至 5 月 27 日，根據(jù)該機(jī)構(gòu)的掃描數(shù)據(jù)，全球有將近 9000 臺(tái)華碩路由器確認(rèn)被入侵。

這些攻擊中的后門配置并非存儲(chǔ)在硬盤上，而是存儲(chǔ)在非易失性隨機(jī)存取存儲(chǔ)器（NVRAM）中，因此重啟和固件更新無(wú)法清除。

GreyNoise 警告，若路由器在更新前已被攻破，后門將持續(xù)存在，除非手動(dòng)檢查并移除 SSH 訪問(wèn)。建議用戶對(duì)疑似受感染設(shè)備進(jìn)行完全恢復(fù)出廠設(shè)置并重新配置，檢查 TCP / 53282 端口的 SSH 訪問(wèn)及 authorized_keys 文件中的未授權(quán)條目。