VN
VN
Giới Thiệu
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Tin tức
Công nghệ
Bảo mật
Linh kiện máy tính
Thiết bị mạng

Gần 9.000 Router Asus Bị Tấn Công Bởi Backdoor SSH Dai Dẳng Tồn Tại Ngay Cả Sau Khi Cập Nhật Firmware

BigGo Editorial Team
Gần 9.000 Router Asus Bị Tấn Công Bởi Backdoor SSH Dai Dẳng Tồn Tại Ngay Cả Sau Khi Cập Nhật Firmware

Một chiến dịch tấn công mạng tinh vi đã thành công xâm nhập gần 9.000 router Asus trên toàn thế giới, cài đặt các backdoor dai dẳng vẫn hoạt động ngay cả sau khi cập nhật firmware và khởi động lại thiết bị. Cuộc tấn công này được phát hiện bởi công ty an ninh mạng GreyNoise vào tháng 3 năm 2025, khai thác nhiều lỗ hổng để thiết lập quyền truy cập trái phép dài hạn có thể được sử dụng để xây dựng các botnet khổng lồ.

Phương Thức Tấn Công Tiên Tiến Vượt Qua Các Biện Pháp Bảo Mật Tiêu Chuẩn

Các kẻ tấn công sử dụng phương pháp nhiều giai đoạn bắt đầu bằng kỹ thuật vượt qua xác thực nhắm vào các mẫu router Asus cụ thể. Đối với router RT-AC3200 và RT-AC3100, các tác nhân đe dọa khai thác lỗ hổng chưa được ghi chép bằng cách giả mạo là user agent Asus hợp pháp và thao túng phân tích cookie để vượt qua hoàn toàn việc xác thực. Các thiết bị GT-AC2900 và Lyra Mini trở thành nạn nhân của CVE-2021-32030, một lỗ hổng vượt qua xác thực khác cấp quyền truy cập quản trị trái phép.

Các mẫu Router Asus bị ảnh hưởng:

  • RT-AC3200 và RT-AC3100 (lỗ hổng bỏ qua xác thực chưa được ghi chép)
  • GT-AC2900 và Lyra Mini (CVE-2021-32030)
  • RT-AX55 series (CVE-2023-39780)

Lỗ Hổng Command Injection Cho Phép Kiểm Soát Cấp Hệ Thống

Một khi đã vào được giao diện quản trị của router, kẻ tấn công tận dụng CVE-2023-39780, một lỗ hổng command injection ảnh hưởng đến các mẫu dòng RT-AX55. Lỗ hổng này cho phép các tác nhân độc hại thực thi các lệnh hệ thống tùy ý thông qua tính năng Bandwidth SQLite Logging của router, thực tế cấp cho chúng quyền kiểm soát hoàn toàn cấu hình và chức năng của thiết bị.

Các Lỗ Hổng Chính Bị Khai Thác:

  • Lỗ hổng bỏ qua xác thực chưa được ghi chép (chưa được gán CVE)
  • CVE-2021-32030: Lỗ hổng bỏ qua xác thực
  • CVE-2023-39780: Chèn lệnh thông qua Bandwidth SQLite Logging

Thiết Kế Backdoor Dai Dẳng Tồn Tại Qua Các Biện Pháp Bảo Mật Tiêu Chuẩn

Khía cạnh đáng lo ngại nhất của cuộc tấn công này nằm ở cơ chế dai dẳng của nó. Thay vì cài đặt malware truyền thống, kẻ tấn công thao túng các tính năng hợp pháp của router để duy trì quyền truy cập. Chúng kích hoạt dịch vụ SSH trên cổng không tiêu chuẩn TCP 53282 và cài đặt khóa SSH công của riêng mình để kiểm soát quản trị từ xa. Quan trọng là, các thay đổi cấu hình này được lưu trữ trong bộ nhớ truy cập ngẫu nhiên không bay hơi (NVRAM) của router, đảm bảo backdoor tồn tại qua cả việc cập nhật firmware và khởi động lại thiết bị.

Đặc điểm tấn công:

  • Cổng backdoor: TCP 53282 (truy cập SSH )
  • Vị trí lưu trữ: Bộ nhớ không bay hơi ( NVRAM )
  • Tính bền vững: Tồn tại qua các bản cập nhật firmware và khởi động lại
  • Né tránh phát hiện: Vô hiệu hóa tính năng ghi log và bảo mật

Hoạt Động Bí Mật Tránh Né Hệ Thống Phát Hiện

Chiến dịch này thể hiện sự tinh vi đáng kể trong việc tránh phát hiện. Kẻ tấn công có hệ thống vô hiệu hóa ghi log hệ thống và các tính năng bảo mật AiProtection của Asus, khiến sự hiện diện của chúng hầu như vô hình với các công cụ giám sát tiêu chuẩn. Công cụ phân tích được hỗ trợ AI Sift của GreyNoise chỉ phát hiện 30 yêu cầu độc hại trong ba tháng, bất chấp việc xâm nhập thành công hàng nghìn thiết bị, làm nổi bật khả năng hoạt động bí mật của cuộc tấn công.

Cập Nhật Firmware Cung Cấp Bảo Vệ Hạn Chế Cho Các Thiết Bị Đã Bị Xâm Nhập

Trong khi Asus đã phát hành các bản cập nhật firmware giải quyết các lỗ hổng bị khai thác, những bản vá này chủ yếu phục vụ như các biện pháp phòng ngừa cho các thiết bị chưa bị xâm nhập. Các router đã bị nhiễm backdoor sẽ vẫn giữ quyền truy cập trái phép ngay cả sau khi cập nhật firmware, vì các cấu hình độc hại vẫn tồn tại trong bộ nhớ không bay hơi mà các quy trình nâng cấp tiêu chuẩn không ghi đè.

Các Bước Khắc Phục cho Thiết Bị Nghi Ngờ Bị Xâm Nhập:

  1. Kiểm tra truy cập SSH trên cổng TCP 53282
  2. Rà soát tệp authorized_keys để tìm các mục nhập trái phép
  3. Chặn các địa chỉ IP độc hại đã biết
  4. Thực hiện khôi phục cài đặt gốc hoàn toàn
  5. Cấu hình lại router từ đầu
  6. Áp dụng các bản cập nhật firmware mới nhất

Cần Thiết Lập Lại Hoàn Toàn Nhà Máy Cho Các Thiết Bị Bị Nhiễm

Các chuyên gia bảo mật khuyến nghị mạnh mẽ rằng người dùng các mẫu router Asus có khả năng bị ảnh hưởng nên thực hiện kiểm tra bảo mật toàn diện. Điều này bao gồm kiểm tra cổng TCP 53282 để tìm quyền truy cập SSH trái phép và xem xét các tệp authorized_keys để tìm các mục không quen thuộc. Đối với các thiết bị nghi ngờ bị xâm nhập, chỉ có việc thiết lập lại hoàn toàn nhà máy theo sau bởi cấu hình lại đầy đủ mới có thể loại bỏ backdoor dai dẳng. Người dùng cũng nên chặn các địa chỉ IP độc hại đã biết liên quan đến chiến dịch để ngăn chặn tái nhiễm.

Tin tức liên quan