摘要：华硕路由器近期遭到攻击，数千台设备受影响。攻击者通过暴力破解和身份验证绕过技术获得未授权访问，利用CVE-2023-39780漏洞执行任意命令，启用SSH访问并远程控制设备。GreyNoise的AI技术在3月17日首次检测到异常流量，并确认近9,000台路由器

华硕路由器近期遭到攻击，数千台设备受影响。攻击者通过暴力破解和身份验证绕过技术获得未授权访问，利用CVE-2023-39780漏洞执行任意命令，启用SSH访问并远程控制设备。GreyNoise的AI技术在3月17日首次检测到异常流量，并确认近9,000台路由器受到攻击。尽管华硕已发布固件更新修复漏洞，但若设备已遭攻击，后门可能仍然存在。用户应确保路由器为华硕产品，检查SSH设置并禁用后进行恢复出厂设置，以确保安全。同时，未受影响的用户应及时更新固件以防未来攻击。

华硕的路由器在市场上广受欢迎，并获得了积极的评价，这意味着许多家庭可能依赖它们来提供家庭wifi。如果您拥有其中一款设备，检查其安全状态至关重要，因为最近有数千台华硕路由器遭到攻击。

根据网络安全公司GreyNoise的一篇博客文章，攻击者利用了暴力破解登录尝试——进行数百万次登录尝试，直到找到正确的登录信息——以及身份验证绕过技术，获得对路由器的未授权访问。值得注意的是，黑客所采用的方法涉及不具有通用漏洞和曝光（CVE）标识符的身份验证绕过技术。CVE是用于跟踪公开披露的安全漏洞的标签，表明这些漏洞要么是未知的，要么仅被有限的群体识别。

一旦黑客获得访问权限，他们利用华硕路由器的CVE-2023-39780漏洞执行任意命令。他们通过路由器的设置启用了SSH（安全外壳）访问，从而能够远程控制设备。黑客将其后门存储在路由器的NVRAM中，而不是磁盘上，甚至禁用了日志记录，这使得检测工作变得复杂。

GreyNoise的AI技术Sift在3月17日首次检测到异常流量。通过使用完全模拟的运行出厂固件的华硕配置文件，研究人员能够观察攻击者的行为并重现攻击。次日，GreyNoise的研究人员收到了Sift的报告，并开始与“政府和行业合作伙伴”进一步调查。根据Censys提供的数据，截至5月27日，已确认近9,000台路由器遭到攻击。此数字仍在增长，撰写本文时报告的受影响路由器数量为9,022台。

幸运的是，GreyNoise已确认华硕发布了固件更新以解决该安全漏洞。然而，如果您的路由器在修补程序应用之前已遭到攻击，后门可能仍然存在。尽管如此，您可以采取一些步骤来保护您的设备。

首先确保您的路由器确实是华硕生产的。您可以通过网页浏览器登录到路由器；为此，请访问www.asusrouter.com或在地址栏中输入路由器的IP地址。根据您的设备，登录过程可能有所不同，如果这是您第一次访问路由器，您将需要设置您的账户。

登录后，查找“启用SSH”设置，该设置可能位于“服务”或“管理”下。如果您发现SSH访问已启用，并且有以下密钥：ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ，您的路由器已遭到攻击。为了保护您的设备，请禁用SSH条目并阻止以下IP地址：

接下来，对路由器进行恢复出厂设置。简单的修补程序是不够的，因为攻击可能会在更新中持续存在。重置设备是确保其安全的最有效方法。如果您的路由器没有受到攻击，请确保尽快安装最新的固件更新，以防止未来的攻击。

来源：老孙科技前沿