華碩路由器遭殭屍網路AyySSHush綁架

TH30

資安監控公司GreyNoise近日發現一個名為「AyySSHush」的新型殭屍網路，已成功入侵超過9,000台華碩(Asus) 路由器，並在設備中植入持續性SSH後門。該攻擊活動於2025年3月中旬被發現，研究人員認為具有國家級威脅行為者的特徵。

值得留意的是，由於駭客將後門程式部署在NVRAM，即使用戶將路由器重開機或是更新韌體，都不會清除駭客留下的惡意程式及組態設定。

TH30

外媒報導，超過 9,000 多台 ASUS Router 被名為「AyySSHush」的殭屍網絡入侵，黑客透過暴力破解登入憑證、繞過身份驗證和利用舊漏洞，成功注入自己的 SSH 公鑰，受影響的型號包括 RT-AC3100、RT-AC3200 和 RT-AX55 型號，用戶請盡快更新 Firmware

https://www.hkepc.com/23597/三款_ASUS_舊_Router_發現嚴重漏洞_被用作殭屍網路攻擊__快更新_Firmware

TH30

https://blog.billows.com.tw/?p=3732
Posted on 2025 年 5 月 29 日 by blogadmin

攻擊概況

AyySSHush 鎖定多款 ASUS 路由器，包括 RT-AC3100、RT-AC3200 與 RT-AX55 等，手法涵蓋：

• 暴力破解登入憑證
• 利用尚未取得 CVE 編號的認證繞過手法
• 濫用已知漏洞 CVE-2023-39780（指令注入） 植入後門

攻擊者透過這些手法成功繞過驗證機制，並啟用路由器上的 SSH 服務，將自訂的公開金鑰寫入設備中，使其得以遠端存取。更關鍵的是，他們利用 ASUS 原生設定功能，使後門設定存放於 非揮發性記憶體（NVRAM），即使韌體升級或設備重開機仍可持續控制。

行動手法與隱匿技術

此攻擊具備以下幾項顯著特徵：

• 不植入任何惡意程式，透過系統合法功能達成後門控制
• 關閉路由器日誌功能與 趨勢科技的AiProtection 安全防護
• 使用非標準 SSH 連接埠 TCP/53282
• 幾乎不留下明顯痕跡，三個月內僅觀察到 30 次異常請求

完整入侵鏈分析

• 初始存取
  • 暴力破解密碼
  • 兩種未列 CVE 的認證繞過手法
• 指令執行
  • 利用 CVE-2023-39780 注入指令
• 持久化
  • 啟用 SSH 並插入攻擊者的公開金鑰
  • 設定寫入 NVRAM，重開機與升級後仍保留
• 隱匿行為
  • 關閉日誌、AiProtection
  • 不部署惡意程式

攻擊來源 IP（應封鎖）：

• 101.99.91.151
• 101.99.94.173
• 79.141.163.179
• 111.90.146.237

---

防護建議

• 立即升級韌體：ASUS 已針對 CVE-2023-39780 推出修補程式，但需留意：若設備先前已遭攻擊，韌體升級無法移除後門！
• 檢查 SSH 設定：
  • 確認是否啟用了非預設 SSH 埠（TCP/53282）
  • 檢視 /home/root/.ssh/authorized_keys 是否存在未知金鑰
• 封鎖已知惡意 IP
• 若懷疑遭入侵，建議執行完整 「回復原廠設定（Factory Reset）」，並重新手動設定密碼及安全性配置。

---

chue

都差唔多係時候換 ROUTER 就唔攪咁多野啦

kenken33

呢度啲「高手」話ASUS最安全

雲一0一

多款? 三款?

alan216hk

ASUS Router好似特別貴

jda

ASUS Router好似特別貴
alan216hk 發表於 2025-5-31 22:24

asus所有野都特別貴
但唔係所有野都特別好

cngaiyin

黑客識揀要攻擊梗係攻擊最貴嘅