- #2 [我是一個人], 25-07-06 14:51Ac3100/3200都成10年前既型號
- #1 [dumbdumb], 25-07-06 10:29
近年來針對小型路由器等連網裝置的攻擊行動頻傳,駭客看上許多使用者不會定時更新的情況,利用已知漏洞從事活動,甚至進一步關閉廠商內建的其他防護機制,使得用戶難以察覺受害。
例如,威脅情報業者GrayNoise揭露鎖定華碩路由器的殭屍網路AyySSHush攻擊行動,就是典型的例子。他們從3月18日察覺駭客的活動,經過2個月的追蹤,已有近9千臺路由器受害。這些駭客之所以得逞,主要運用的手段,包括發動暴力破解、奪下設備控制權,或是利用2個尚未登記CVE編號的身分驗證繞過漏洞(目前已完成修補),取得初始存取權限,一旦得逞,他們就會試圖利用已知漏洞CVE-2023-39780執行任意命令,最終植入自己的SSH金鑰建立以持續存取的管道,並將相關組態存放於非揮發性隨機存取記憶體(NVRAM)。
值得留意的是,由於駭客將後門程式部署在NVRAM,即使用戶將路由器重開機或是更新韌體,都不會清除駭客留下的惡意程式及組態設定。除此之外,駭客並未部署其他的惡意軟體,但他們為了迴避偵測,不僅停用路由器的事件記錄功能,也停用與趨勢科技合作的內建防護機制AiProtection。
附帶一提的是,GrayNoise特別提及相關調查結果與Sekoia揭露的中國駭客ViciousTrap活動有關,鎖定華碩路由器的攻擊是該項行動的一部分,兩家資安業者不約而同提到,駭客使用TCP通訊協定及53282埠建立SSH連線犯案。
針對駭客使用的漏洞CVE-2023-39780,此為允許通過身分驗證的攻擊者於作業系統層級進行命令注入的弱點,當時研究人員是在華碩的路由器RT-AX55發現,CVSS風險為8.8。不過,GrayNoise指出,他們看到駭客攻擊目標,是採用出廠預設組態的另外兩款機型:RT-AC3100、RT-AC3200。
https://www.ithome.com.tw/news/169252 - 返回 ...