吳明宜資安廠商 GreyNoise 上周揭露一樁名為 AyySSHush 的攻擊行動,攻擊者串聯多項漏洞,將近 9,000 台家庭及小型企業用路由器,注入惡意指令建立後門。
GreyNoise 發出的安全公告指出,一個不知名的攻擊組織串聯起暴力破解登入、 2 個驗證繞過漏洞、及一個 2023 年的指令注入漏洞,最後可取得裝置的完整控制權,再以合法配置設定封鎖裝置排除其他人登入。
結果是 GreyNoise 稱之為 AyySSHush 的路由器網路。而且 AyySSHush 程式不受韌體更新、回復出廠設定影響,也能躲過防毒軟體掃瞄,使這個路由器網路成為專業駭客組織未來攻擊的理想基礎架構。
研究人員利用 Censys 搜尋引擎資料判斷,從三月中起,有近 9,000 台華碩路由器證實遭到攻擊。
另一家安全廠商,法國的 Sekoia 警告,一個操中文的駭客組織 ViciousTrap 駭入了 5,500 多台邊緣裝置,將其收編為蜜罐 (honeypot) 。該公司指出,這些裝置涵括 50 多個廠牌,種類則有 SOHO 路由器、 SSL VPN 、 DVR 和 BMC(基板管理控制器),攻擊者監控這些裝置,目的在蒐集漏洞,以及濫用這些機器漏洞的工具資料。消息人士告訴 SecurityWeek 說,這二起攻擊彼此相關。
GreyNoise 是在其感測網路內發現到鎖定華碩路由器的異常 HTTP POST 呼叫。之後研究人員重建了攻擊者的攻擊方法。首先,攻擊者針對多款 ASUS 路由器進行初次滲透。 他們進入設備的管理端點的方法包括暴力破解,以及濫用兩個無編號的身份驗證繞過漏洞。進入管理介面,攻擊者就可以利用 CVE-2023-39780 漏洞執行系統指令。
其次,攻擊者利用注入的權限,開啟 TCP port 53282 以啟用 SSH 存取,建立持久存取的後門。接著攻擊者,將自己的公鑰 (public key) 植入到非揮發性記憶體 (NVRAM) 中,關閉華碩路由器內建的 AiProtection 安全功能。由於後門不是寫入硬碟。因此,即使系統重新啟動、韌體更新,後門仍然存在。此外,攻擊行動還包括躲避鑑識手法,駭客關閉了日誌記錄 (logging) 及 AiProtection 功能,隱藏所有入侵與設定變更的痕跡,降低被發現的機率。
研究人員表示,此等手法顯示攻擊者資源充沛且能力高超。
受影響的華碩路由器主要是家用及小型企業用機種,包括 RT-AC3100 、 RT-AC3200 、 RT-AX55 系列。而 Sekoia 發現的 ViciousTrap 行動攻擊的裝置包含 D-Link 、 Linksys 、 QNAP 和 Araknis 等。研究人員相信,AyySSHush 可能也攻陷了這些裝置。
來源:SecurityWeek