MY



MY
BigGo MagAbout UsJoin usContact UsUser TermsSupport Center
© 2025 BigGo
Install
BigGo Shopping Assistant
News
Teknologi
Keamanan
Komponen Komputer
Peranti Rangkaian

Hampir 9,000 Router Asus Dikompromi oleh Pintu Belakang SSH Berterusan Yang Bertahan Selepas Kemas Kini Perisian Tegar

BigGo Editorial Team
Hampir 9,000 Router Asus Dikompromi oleh Pintu Belakang SSH Berterusan Yang Bertahan Selepas Kemas Kini Perisian Tegar

Kempen serangan siber yang canggih telah berjaya mengkompromi hampir 9,000 router Asus di seluruh dunia, memasang pintu belakang berterusan yang kekal aktif walaupun selepas kemas kini perisian tegar dan but semula peranti. Serangan ini, yang ditemui oleh firma keselamatan siber GreyNoise pada Mac 2025, mengeksploitasi pelbagai kelemahan untuk mewujudkan akses tanpa kebenaran jangka panjang yang berpotensi digunakan untuk membina botnet besar-besaran.

Metodologi Serangan Lanjutan Memintas Langkah Keselamatan Standard

Penyerang menggunakan pendekatan berbilang peringkat yang bermula dengan teknik pintasan pengesahan yang menyasarkan model router Asus tertentu. Untuk router RT-AC3200 dan RT-AC3100, pelaku ancaman mengeksploitasi kelemahan yang tidak didokumentasikan dengan menyamar sebagai ejen pengguna Asus yang sah dan memanipulasi penghuraian kuki untuk memintas pengesahan sepenuhnya. Peranti GT-AC2900 dan Lyra Mini menjadi mangsa CVE-2021-32030, satu lagi kelemahan pintasan pengesahan yang memberikan akses pentadbiran tanpa kebenaran.

Model Penghala Asus yang Terjejas:

  • RT-AC3200 dan RT-AC3100 (pintasan pengesahan yang tidak didokumentasikan)
  • GT-AC2900 dan Lyra Mini (CVE-2021-32030)
  • Siri RT-AX55 (CVE-2023-39780)

Kelemahan Suntikan Arahan Membolehkan Kawalan Peringkat Sistem

Setelah masuk ke dalam antara muka pentadbiran router, penyerang memanfaatkan CVE-2023-39780, kelemahan suntikan arahan yang menjejaskan model siri RT-AX55. Kecacatan ini membolehkan pelaku berniat jahat melaksanakan arahan sistem sewenang-wenangnya melalui ciri Bandwidth SQLite Logging router, dengan berkesan memberikan mereka kawalan penuh ke atas konfigurasi dan fungsi peranti.

Kelemahan Utama Yang Dieksploitasi:

  • Pintasan pengesahan tidak berdokumen (tiada CVE diberikan)
  • CVE-2021-32030: Kelemahan pintasan pengesahan
  • CVE-2023-39780: Suntikan arahan melalui Bandwidth SQLite Logging

Reka Bentuk Pintu Belakang Berterusan Bertahan Terhadap Langkah Keselamatan Standard

Aspek yang paling membimbangkan dalam serangan ini terletak pada mekanisme ketekunannya. Daripada memasang perisian hasad tradisional, penyerang memanipulasi ciri router yang sah untuk mengekalkan akses. Mereka membolehkan perkhidmatan SSH pada port bukan standard TCP 53282 dan memasang kunci SSH awam mereka sendiri untuk kawalan pentadbiran jauh. Yang kritikal, perubahan konfigurasi ini disimpan dalam memori akses rawak tidak meruap (NVRAM) router, memastikan pintu belakang bertahan melalui kemas kini perisian tegar dan permulaan semula peranti.

Ciri-ciri Serangan:

  • Port pintu belakang: TCP 53282 (akses SSH)
  • Lokasi penyimpanan: RAM tidak mudah hilang (NVRAM)
  • Kegigihan: Bertahan melalui kemas kini perisian tegar dan but semula
  • Pengelakan pengesanan: Melumpuhkan ciri-ciri pengelogan dan keselamatan

Operasi Senyap Mengelak Sistem Pengesanan

Kempen ini menunjukkan kecanggihan yang luar biasa dalam mengelakkan pengesanan. Penyerang secara sistematik melumpuhkan pengelogan sistem dan ciri keselamatan AiProtection Asus, menjadikan kehadiran mereka hampir tidak kelihatan kepada alat pemantauan standard. Alat analisis berkuasa AI GreyNoise Sift mengesan hanya 30 permintaan berniat jahat dalam tempoh tiga bulan, walaupun kejayaan mengkompromi beribu-ribu peranti, menyerlahkan keupayaan senyap serangan tersebut.

Kemas Kini Perisian Tegar Memberikan Perlindungan Terhad untuk Peranti Yang Dikompromi

Walaupun Asus telah mengeluarkan kemas kini perisian tegar yang menangani kelemahan yang dieksploitasi, tampalan ini berfungsi terutamanya sebagai langkah pencegahan untuk peranti yang tidak dikompromi. Router yang sudah dijangkiti dengan pintu belakang akan mengekalkan akses tanpa kebenaran walaupun selepas kemas kini perisian tegar, kerana konfigurasi berniat jahat berterusan dalam memori tidak meruap yang tidak ditulis ganti oleh prosedur naik taraf standard.

Langkah Pemulihan untuk Peranti yang Disyaki Terjejas:

  1. Semak akses SSH pada port TCP 53282
  2. Kaji fail authorized_keys untuk entri yang tidak dibenarkan
  3. Sekat alamat IP hasad yang dikenali
  4. Lakukan tetapan semula kilang yang lengkap
  5. Konfigurasikan semula penghala dari awal
  6. Gunakan kemas kini perisian tegar terkini

Set Semula Kilang Lengkap Diperlukan untuk Peranti Yang Dijangkiti

Pakar keselamatan sangat mengesyorkan agar pengguna model router Asus yang berpotensi terjejas melakukan pemeriksaan keselamatan menyeluruh. Ini termasuk memeriksa port TCP 53282 untuk akses SSH tanpa kebenaran dan menyemak fail authorized_keys untuk entri yang tidak dikenali. Untuk peranti yang disyaki dikompromi, hanya set semula kilang lengkap diikuti dengan konfigurasi semula penuh dapat menghapuskan pintu belakang berterusan. Pengguna juga harus menyekat alamat IP berniat jahat yang diketahui berkaitan dengan kempen untuk mencegah jangkitan semula.

Related News