作者: TH30 時間: 2025-5-31 02:40 標題: 華碩路由器遭殭屍網路AyySSHush綁架
資安監控公司GreyNoise近日發現一個名為「AyySSHush」的新型殭屍網路,已成功入侵超過9,000台華碩(Asus) 路由器,並在設備中植入持續性SSH後門。該攻擊活動於2025年3月中旬被發現,研究人員認為具有國家級威脅行為者的特徵。
值得留意的是,由於駭客將後門程式部署在NVRAM,即使用戶將路由器重開機或是更新韌體,都不會清除駭客留下的惡意程式及組態設定。
作者: TH30 時間: 2025-5-31 02:43
外媒報導,超過 9,000 多台 ASUS Router 被名為「AyySSHush」的殭屍網絡入侵,黑客透過暴力破解登入憑證、繞過身份驗證和利用舊漏洞,成功注入自己的 SSH 公鑰,受影響的型號包括 RT-AC3100、RT-AC3200 和 RT-AX55 型號,用戶請盡快更新 Firmware
https://www.hkepc.com/23597/三款_ASUS_舊_Router_發現嚴重漏洞_被用作殭屍網路攻擊__快更新_Firmware
作者: TH30 時間: 2025-5-31 02:48
https://blog.billows.com.tw/?p=3732
Posted on 2025 年 5 月 29 日 by blogadmin
攻擊概況
AyySSHush 鎖定多款 ASUS 路由器,包括 RT-AC3100、RT-AC3200 與 RT-AX55 等,手法涵蓋:
- 暴力破解登入憑證
- 利用尚未取得 CVE 編號的認證繞過手法
- 濫用已知漏洞 CVE-2023-39780(指令注入) 植入後門
攻擊者透過這些手法成功繞過驗證機制,並啟用路由器上的 SSH 服務,將自訂的公開金鑰寫入設備中,使其得以遠端存取。更關鍵的是,他們利用 ASUS 原生設定功能,使後門設定存放於 非揮發性記憶體(NVRAM),即使韌體升級或設備重開機仍可持續控制。
行動手法與隱匿技術
此攻擊具備以下幾項顯著特徵:
- 不植入任何惡意程式,透過系統合法功能達成後門控制
- 關閉路由器日誌功能與 趨勢科技的AiProtection 安全防護
- 使用非標準 SSH 連接埠 TCP/53282
- 幾乎不留下明顯痕跡,三個月內僅觀察到 30 次異常請求
完整入侵鏈分析
- 初始存取
- 暴力破解密碼
- 兩種未列 CVE 的認證繞過手法
- 指令執行
- 利用 CVE-2023-39780 注入指令
- 持久化
- 啟用 SSH 並插入攻擊者的公開金鑰
- 設定寫入 NVRAM,重開機與升級後仍保留
- 隱匿行為
- 關閉日誌、AiProtection
- 不部署惡意程式
攻擊來源 IP(應封鎖):
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
防護建議
- 立即升級韌體:ASUS 已針對 CVE-2023-39780 推出修補程式,但需留意:若設備先前已遭攻擊,韌體升級無法移除後門!
- 檢查 SSH 設定:
- 確認是否啟用了非預設 SSH 埠(TCP/53282)
- 檢視 /home/root/.ssh/authorized_keys 是否存在未知金鑰
- 封鎖已知惡意 IP
- 若懷疑遭入侵,建議執行完整 「回復原廠設定(Factory Reset)」,並重新手動設定密碼及安全性配置。
作者: chue 時間: 2025-5-31 08:01
都差唔多係時候換 ROUTER 就唔攪咁多野啦
作者: kenken33 時間: 2025-5-31 19:03
呢度啲「高手」話ASUS最安全
作者: 雲一0一 時間: 2025-5-31 19:33
多款? 三款?
作者: alan216hk 時間: 2025-5-31 22:24
ASUS Router好似特別貴
作者: jda 時間: 2025-6-1 13:22
ASUS Router好似特別貴
alan216hk 發表於 2025-5-31 22:24
asus所有野都特別貴
但唔係所有野都特別好
作者: cngaiyin 時間: 2025-6-4 19:58
黑客識揀要攻擊梗係攻擊最貴嘅
