近日，網(wǎng)絡(luò)安全領(lǐng)域傳來(lái)新警報(bào)，知名平臺(tái)GreyNoise在5月28日發(fā)布的一項(xiàng)報(bào)告指出，一場(chǎng)大規(guī)模網(wǎng)絡(luò)攻擊事件導(dǎo)致近9000臺(tái)華碩路由器被不法分子悄悄植入了后門(mén)程序，這些設(shè)備未來(lái)有可能被用于組建僵尸網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。

面對(duì)這一緊急情況，華碩公司迅速響應(yīng)，已經(jīng)發(fā)布了針對(duì)受影響路由器的固件修復(fù)程序。然而，GreyNoise特別提醒，對(duì)于那些在更新固件之前已經(jīng)被植入后門(mén)的設(shè)備，僅僅進(jìn)行固件更新是不足以徹底解決問(wèn)題的。用戶(hù)必須先將設(shè)備完全恢復(fù)出廠(chǎng)設(shè)置，并進(jìn)行重新配置，才能確保后門(mén)程序被徹底清除。

在這份詳盡的報(bào)告中，GreyNoise詳細(xì)闡述了兩種關(guān)鍵的安全漏洞：身份認(rèn)證繞過(guò)訪(fǎng)問(wèn)漏洞和命令執(zhí)行漏洞。其中，一種尚未獲得CVE編號(hào)的漏洞影響了華碩RT-AC3200和RT-AC3100型號(hào)的路由器。攻擊者通過(guò)偽裝成華碩官方用戶(hù)代理，并使用特定的cookie格式，能夠在身份驗(yàn)證流程中提前終止字符串解析，從而繞過(guò)正常的認(rèn)證步驟。

而CVE-2021-32030漏洞則專(zhuān)門(mén)針對(duì)華碩GT-AC2900和Lyra Mini設(shè)備，同樣允許攻擊者繞過(guò)身份認(rèn)證。一旦攻擊者成功獲得認(rèn)證訪(fǎng)問(wèn)權(quán)限，他們就可以利用設(shè)備內(nèi)置的設(shè)置和安全漏洞，在TCP/53282端口上建立SSH連接，并設(shè)置一個(gè)由攻擊者控制的公鑰，以實(shí)現(xiàn)持久的遠(yuǎn)程訪(fǎng)問(wèn)。

在命令執(zhí)行方面，GreyNoise發(fā)現(xiàn)了針對(duì)華碩RT-AX55系列型號(hào)的CVE-2023-39780漏洞。攻擊者可以利用Bandwidth SQLite Logging（BWSQL）嵌入日志功能中的腳本注入漏洞，執(zhí)行用戶(hù)控制的數(shù)據(jù)。這一漏洞的發(fā)現(xiàn)進(jìn)一步加劇了網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻性。

根據(jù)GreyNoise的掃描數(shù)據(jù)，截至5月27日，全球范圍內(nèi)已有近9000臺(tái)華碩路由器被確認(rèn)遭到入侵。值得注意的是，這些后門(mén)配置并非存儲(chǔ)在硬盤(pán)上，而是被存儲(chǔ)在非易失性隨機(jī)存取存儲(chǔ)器（NVRAM）中。這意味著，即使設(shè)備被重啟或固件得到更新，后門(mén)程序仍然會(huì)存在，除非用戶(hù)手動(dòng)進(jìn)行檢查和清除。

GreyNoise強(qiáng)烈建議，所有使用華碩路由器的用戶(hù)應(yīng)立即檢查自己的設(shè)備是否可能受到感染。對(duì)于疑似受感染的設(shè)備，用戶(hù)應(yīng)執(zhí)行完全恢復(fù)出廠(chǎng)設(shè)置并重新配置的操作，同時(shí)仔細(xì)檢查T(mén)CP/53282端口的SSH訪(fǎng)問(wèn)權(quán)限以及authorized_keys文件中的未授權(quán)條目。這些措施對(duì)于防止后門(mén)程序的持續(xù)存在和潛在的網(wǎng)絡(luò)攻擊至關(guān)重要。