有報告指超過 9,000 台路由器被新型殭屍網路「AyySSHush」入侵,據報涉及多個品牌,包括 ASUS、Cisco、D-Link 和 Linksys 的 SOHO 路由器。
根據 GreyNoise 安全研究人員在 2025 年 3 月中旬發現,一個名為「AyySSHush」的新型殭屍網路已攻擊超過 9,000 台不同品牌路由器,報告更指出該攻擊具備國家級威脅的特徵。
GreyNoise 報告指出,受影響型號包括 ASUS RT-AC3100、RT-AC3200 和 RT-AX55 型號。攻擊是利用 ASUS 官方添加功能的程式漏洞作切入點,所以即使設備重啟或固件升級後漏洞仍會存在。攻擊包括破解登錄憑證、繞過身份驗證以及利用舊漏洞來入侵路由器,透過路由器 CVE-2023-39780 的漏洞,然後加入自己的 SSH 公開金鑰,並啟用 SSH 在非標準 TCP 端口 53282 上監視。即使設備重啟或固件更新後,仍無法關閉或移除後門。
報告指是次攻擊特別隱秘,且不涉及任何惡意軟件,攻擊還懂得關閉日誌記錄和規避路由器的 AI Protection 檢測功能。但目前還不清楚 AyySSHush 殭屍網絡的運作目標,因為沒有跡象顯示,有利用這些設備參與及代理惡意流量攻擊。但不排除這場活動正在悄悄構建一個後門路由器網絡,為未來的殭屍網路攻擊埋下種子。
解決方法
針對受影響的路由器產品, ASUS 發布了修補 CVE-2023-39780 的安全更新,但具體可供下載時間因型號而異。ASUS 建議用戶儘快檢查路由器是否有升級固件可供升級,並檢查網絡上是否存在可疑文件以及攻擊者在「authorized_keys」文件中添加的 SSH 金鑰。
此外,GreyNoise 列出了與此活動相關的四個 IP 地址,應將其添加到阻止列表中:
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
如果懷疑設備已被入侵,建議將路由器進行出廠重置以徹底清除路由器,然後使用強密碼重新配置。