近日,一個名為「AyySSHush」的強大殭屍網絡被發現已攻擊超過 9,000 台 ASUS 路由器,並植入持續性 SSH 後門,威脅範圍包括 RT-AC3100、RT-AC3200 和 RT-AX55 型號。該攻擊行動同時針對其他品牌路由器如 Cisco、D-Link 和 Linksys,顯示其目標範圍廣泛。
根據 GreyNoise 安全研究人員的報告,這些攻擊始於 2025 年 3 月,駭客透過暴力破解帳號密碼、繞過身份驗證,並利用舊漏洞(CVE-2023-39780)進行入侵。他們透過該漏洞添加 SSH 公鑰,並啟用非標準 TCP 端口 53282 上的 SSH 守護進程,使得後門在設備重新啟動和固件更新後依然存在。此外,駭客還關閉系統日誌記錄和 Trend Micro AiProtection 功能,以規避偵測。
GreyNoise 的 AI 工具已檢測到 30 次相關的惡意請求,並指出至少 9,000 台 ASUS 路由器已被感染。雖然暫時尚未發現分散式阻斷服務(DDoS)攻擊或惡意流量代理行為,但專家擔憂這可能是為未來殭屍網絡攻擊做準備。ASUS 已發布針對 CVE-2023-39780 的安全更新,建議用戶立即升級固件並檢查是否有異常 SSH 公鑰出現在authorized_keys文件中。如果懷疑設備受感染,建議執行出廠重置並重新配置路由器,設置強密碼。此外,用戶應封鎖駭客活動涉及的 IP 地址(如101.99.91.151等)。
