山東
IT之家 5 月 29 日消息,網絡安全平臺 GreyNoise 昨日(5 月 28 日)發布博文,報道稱在一場持續的網絡攻擊中,近 9000 臺華碩路由器被植入后門,未來可能被用于構建僵尸網絡。
目前華碩已發布固件修復。IT之家注:若設備在更新固件前已被植入后門,需先完全恢復出廠設置并重新配置。
報告介紹了身份認證繞過訪問(尚未分配 CVE 編號和 CVE-2021-32030)和命令執行(CVE-2023-39780)方面的漏洞。
在身份繞過方面,尚未分配 CVE 編號的漏洞影響華碩 RT-AC3200 和 RT-AC3100 路由器,攻擊者通過偽裝成華碩用戶代理“asusrouter--”以及使用“asus_token=”cookie 后跟一個空字節,在身份驗證過程中提前終止字符串解析,從而繞過身份驗證。
而 CVE-2021-32030 漏洞專門針對華碩 GT-AC2900 和 Lyra Mini 設備,可以繞過身份驗證。
攻擊者一旦獲得認證訪問權限,便可以利用內置設置和安全漏洞在 TCP / 53282 建立 SSH 連接,并為持久的遠程訪問設置一個由攻擊者控制的公鑰。
在命令執行方面,該公司發現了針對華碩 RT-AX55 系列型號的 CVE-2023-39780 漏洞,攻擊者利用 Bandwidth SQLite Logging(BWSQL)嵌入日志功能,激活腳本注入,執行用戶控制的數據。
截至 5 月 27 日,根據該機構的掃描數據,全球有將近 9000 臺華碩路由器確認被入侵。
這些攻擊中的后門配置并非存儲在硬盤上,而是存儲在非易失性隨機存取存儲器(NVRAM)中,因此重啟和固件更新無法清除。
GreyNoise 警告,若路由器在更新前已被攻破,后門將持續存在,除非手動檢查并移除 SSH 訪問。建議用戶對疑似受感染設備進行完全恢復出廠設置并重新配置,檢查 TCP / 53282 端口的 SSH 訪問及 authorized_keys 文件中的未授權條目。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
