安全平台GreyNoise报告称，近9000台华硕路由器遭受持续网络攻击，被植入后门，可能被用于构建僵尸网络。攻击者利用身份认证绕过和命令执行漏洞，获取认证访问权限并建立SSH连接，实现远程访问。受影响的路由器型号包括RT-AC3200、RT-AC3100、GT-AC2900、Lyra Mini以及RT-AX55系列。由于后门存储在NVRAM中，重启和固件更新无法清除。华硕已发布固件修复，建议用户更新前已受感染的设备进行完全恢复出厂设置并重新配置。

🛡️ 攻击手法：攻击者利用身份认证绕过漏洞和命令执行漏洞入侵华硕路由器。

🔓 身份认证绕过：尚未分配CVE编号的漏洞影响RT-AC3200和RT-AC3100路由器，攻击者伪装成华硕用户代理并使用特定cookie绕过身份验证。CVE-2021-32030漏洞则针对GT-AC2900和Lyra Mini设备。

🔨 命令执行：CVE-2023-39780漏洞针对RT-AX55系列，攻击者利用Bandwidth SQLite Logging嵌入日志功能，执行用户控制的数据。

🌐 影响范围：全球近9000台华硕路由器确认被入侵，后门配置存储在NVRAM中，重启和固件更新无法清除。

💡 修复建议：华硕已发布固件修复。若设备在更新前已被攻破，需完全恢复出厂设置并重新配置，检查TCP/53282端口的SSH访问及authorized_keys文件中的未授权条目。

IT之家 5 月 29 日消息，网络安全平台 GreyNoise 昨日（5 月 28 日）发布博文，报道称在一场持续的网络攻击中，近 9000 台华硕路由器被植入后门，未来可能被用于构建僵尸网络。

目前华硕已发布固件修复。IT之家注：若设备在更新固件前已被植入后门，需先完全恢复出厂设置并重新配置。

报告介绍了身份认证绕过访问（尚未分配 CVE 编号和 CVE-2021-32030）和命令执行（CVE-2023-39780）方面的漏洞。

在身份绕过方面，尚未分配 CVE 编号的漏洞影响华硕 RT-AC3200 和 RT-AC3100 路由器，攻击者通过伪装成华硕用户代理“asusrouter--”以及使用“asus_token=”cookie 后跟一个空字节，在身份验证过程中提前终止字符串解析，从而绕过身份验证。

而 CVE-2021-32030 漏洞专门针对华硕 GT-AC2900 和 Lyra Mini 设备，可以绕过身份验证。

攻击者一旦获得认证访问权限，便可以利用内置设置和安全漏洞在 TCP / 53282 建立 SSH 连接，并为持久的远程访问设置一个由攻击者控制的公钥。

在命令执行方面，该公司发现了针对华硕 RT-AX55 系列型号的 CVE-2023-39780 漏洞，攻击者利用 Bandwidth SQLite Logging（BWSQL）嵌入日志功能，激活脚本注入，执行用户控制的数据。

截至 5 月 27 日，根据该机构的扫描数据，全球有将近 9000 台华硕路由器确认被入侵。

这些攻击中的后门配置并非存储在硬盘上，而是存储在非易失性随机存取存储器（NVRAM）中，因此重启和固件更新无法清除。

GreyNoise 警告，若路由器在更新前已被攻破，后门将持续存在，除非手动检查并移除 SSH 访问。建议用户对疑似受感染设备进行完全恢复出厂设置并重新配置，检查 TCP / 53282 端口的 SSH 访问及 authorized_keys 文件中的未授权条目。