ASUS 路由器爆資安漏洞,9000 台設備遭駭植入 AyySSHush 殭屍網路

張貼者: 日期:



在 2025 年 3 月起,一個技術成熟的駭客組織,透過已知漏洞 CVE-2023-39780,成功滲透超過 9000 台 ASUS(華碩)家用路由器,並將其納入名為 AyySSHush 的殭屍網路中,成為未來攻擊平台的跳板。該事件由知名資安監控機構 GreyNoise 於近日揭露。

攻擊流程概述:

  • 初步入侵:利用弱密碼暴力破解,或舊版韌體的認證繞過漏洞。

  • 惡意參數注入:針對 AiProtection 安全模組發送指令。

  • SSH 後門建立

    • 啟用非標準埠(TCP/53282)SSH 存取

    • 將攻擊者公鑰寫入 /etc/ssh/authorized_keys

    • 關閉系統日誌,增加隱匿性

    • 可跨韌體更新持續控制,甚至在部分機型上無法透過 reset 排除

受影響機型與國家:

明確確認機型:

  • RT-AC3200

  • RT-AC3100

  • RT-AX55

疑似受影響(大量異常 SSH 流量):

  • ZenWiFi AX (XT8)、ZenWiFi AC (CT8)

  • Lyra 系列、RT-AC88U、RT-AX3000

  • TUF-AX3000、RT-AX56U、RT-AX86U

前五大受攻擊國家:

美國、瑞典、台灣、新加坡、香港

使用者應採取的 8 項資安對策:

  1. 下載最新韌體:至 ASUS 官方網站 更新

  2. 設備重置:恢復出廠設定,刪除潛在後門

  3. 檢查 SSH 金鑰授權檔案

  4. 停用 SSH 功能

  5. 使用強密碼(大小寫+數字+符號)

  6. 淘汰不再支援的老舊設備

  7. 關閉遠端管理功能

  8. 封鎖已知駭客來源 IP

101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237

SSH 授權檔案檢查方法:

使用終端機連線:nginx

ssh admin@192.168.1.1

登入後檢查 /etc/ssh/authorized_keys 是否出現未授權金鑰,例如:

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZJ8L5mzhhaxfGzpHR8Geay/xDlVDSJ8MJwA4RJ7o21KVfRXqFblQH4L6fWIYd1ClQbZ6Kk1uA1r7qx1qEQ2PqdVMhnNdHACvCVz/MPHTVebtkKhEl98MZiMOvUNPtAC9ppzOSi7xz3cSV0n1pG/dj+37pzuZUpm4oGJ3XQR2tUPz5MddupjJq9/gmKH6SJjTrHKSECe5yEDs6c3v6uN4dnFNYA5MPZ52FGbkhzQ5fy4dPNf0peszR28XGkZk9ctORNCGXZZ4bEkGHYut5uvwVK1KZOYJRmmj63drEgdIioFv/x6IcCcKgi2w== rsa 2048

如有發現陌生金鑰,請立即移除,並重設系統。

美國 FBI 建議的家庭網路資安守則:

  • 定期更新路由器韌體

  • 停用遠端管理

  • 使用強密碼

  • 停用不必要的管理功能(如 SSH)

留言

張貼留言