僵尸网络入侵逾9000台华硕路由器，植入持久性SSH后门

逾9000台华硕路由器遭新型僵尸网络"AyySSHush"入侵，该网络还被发现攻击思科、D-Link和领势的SOHO路由器。

GreyNoise安全研究人员于2025年3月中旬发现该活动，报告称其具有国家级威胁组织的特征，但尚未做出明确归因。

该威胁监控公司指出，攻击者结合暴力破解登录凭证、绕过认证机制以及利用老旧漏洞等手段入侵华硕路由器，受影响机型包括RT-AC3100、RT-AC3200和RT-AX55。

具体而言，攻击者利用编号CVE-2023-39780的老旧命令注入漏洞，植入自己的SSH公钥，并将SSH守护进程设置为监听非标准TCP端口53282。这些修改使攻击者即使经过设备重启和固件更新，仍能保持后门访问权限。

GreyNoise另一份相关报告解释称："由于该密钥通过华硕官方功能添加，这种配置更改在固件升级后仍会保留。若设备此前已被入侵，升级固件不会移除SSH后门。"

此次攻击极具隐蔽性，不涉及任何恶意软件，攻击者还关闭了日志记录和趋势科技AiProtection功能以规避检测。值得注意的是，尽管已有9000台华硕路由器遭感染，GreyNoise过去三个月仅记录到30个相关恶意请求。

不过其中三个请求已足以触发GreyNoise的AI分析工具，促使人工介入调查。该活动可能与Sekoia上周披露的"Vicious Trap"行动存在重叠，但这家法国网络安全公司报告称攻击者利用CVE-2021-32030漏洞入侵华硕路由器。

在Sekoia观察到的行动中，攻击目标涵盖D-Link、领势、威联通和Araknis Networks的SOHO路由器、SSL VPN、DVR及BMC控制器。AyySSHush的具体运作目标尚不明确，目前未发现分布式拒绝服务（DDoS）攻击迹象，也未利用华硕路由器代理恶意流量。

但在Sekoia监测的路由器入侵案例中，攻击者曾下载并执行恶意脚本，将被黑系统的网络流量重定向至其控制的第三方设备。当前迹象表明，该活动正悄然构建后门路由器网络，为未来组建僵尸网络奠定基础。

华硕已为受影响路由器发布修复CVE-2023-39780的安全更新，具体推送时间因机型而异。建议用户尽快升级固件，并检查“authorized_keys”文件中是否存在可疑文件及攻击者SSH密钥。GreyNoise列出了四个关联IP地址，建议加入封锁列表。若怀疑设备已遭入侵，建议执行恢复出厂设置彻底清理，随后使用高强度密码重新配置。