近9000台华硕路由器被植入后门，华硕已发布固件修复

网络安全平台GreyNoise于5月28日发布博文，报道了一场持续的网络攻击事件，其中近9000台华硕路由器被植入后门，未来可能被用于构建僵尸网络。目前，华硕已经发布了固件修复程序以应对这一安全威胁。

据GreyNoise的报告，此次攻击涉及身份认证绕过访问和命令执行两个方面的漏洞。具体来说，未分配CVE编号的漏洞影响了华硕RT-AC3200和RT-AC3100路由器，攻击者通过伪装成华硕用户代理并利用特定cookie来绕过身份验证。而CVE-2021-32030漏洞则专门针对华硕GT-AC2900和Lyra Mini设备，同样可以绕过身份验证。一旦攻击者获得认证访问权限，他们便可以利用内置设置和安全漏洞在TCP/53282建立SSH连接，并为持久的远程访问设置一个由攻击者控制的公钥。

此外，GreyNoise还发现了针对华硕RT-AX55系列型号的CVE-2023-39780漏洞，攻击者可以利用该漏洞激活脚本注入，执行用户控制的数据。截至5月27日，根据GreyNoise的扫描数据，全球有将近9000台华硕路由器确认被入侵。

值得注意的是，这些攻击中的后门配置并非存储在硬盘上，而是存储在非易失性随机存取存储器（NVRAM）中，因此重启和固件更新无法清除后门。GreyNoise警告称，若路由器在更新前已被攻破，后门将持续存在，除非手动检查并移除SSH访问。

为了应对这一安全威胁，华硕已经发布了固件修复程序。然而，对于已经被植入后门的路由器，用户需要先完全恢复出厂设置并重新配置，同时检查TCP/53282端口的SSH访问及authorized_keys文件中的未授权条目。

此次事件再次提醒了用户和企业对于网络安全的重要性。随着网络攻击的不断升级和复杂化，用户需要保持警惕并及时更新设备固件以防范潜在的安全威胁。同时，企业也需要加强网络安全防护措施，确保用户数据的安全和隐私保护。