数以千计的华硕路由器被劫持，但我现在不会惊慌

快速阅读: 《CNET 公司》消息，超9000台华硕路由器被指遭黑客长期入侵，攻击者可通过后门持续访问。尽管重启和固件更新无法彻底解决，但用户可通过禁用SSH、封锁特定IP及恢复出厂设置等方式降低风险。华硕建议及时更新固件修复漏洞。

你的华硕Wi-Fi路由器可能已被黑客入侵。根据网络安全公司灰噪声（GreyNoise）的一篇新博文指出，截至本周二，该公司确认超过9000台华硕路由器遭到入侵，称之为“持续的利用活动”。自3月17日以来，灰噪声一直在追踪此次攻击。在过去几个月里，他们仅观察到与该攻击相关的30个请求，这表明该活动正悄然进行。

令人担忧的是，即使重启和固件更新后，攻击者仍然能够保持对受影响路由器的访问，“从而对他们控制受影响设备提供了持久性”，博文写道。虽然听起来很可怕，但你目前可能不需要更换路由器。这些攻击的目标并不是你的个人数据。相反，攻击者会利用受感染的设备作为更大计划中的棋子。“这些被攻破的物联网设备，比如智能摄像头或路由器，具备足够的计算能力，可以使用数以万计的网络设备来进行拒绝服务攻击，”卡内基梅隆大学计算机科学教授尤瓦尔·阿加沃尔告诉CNET。他将其与2016年的臭名昭著的Mirai僵尸网络事件进行比较，那次事件暂时使Twitter、Netflix、Reddit和Pinterest等网站瘫痪。“它并不是试图破解你的笔记本电脑或iPhone，对吧？这不是它的目的，”阿加沃尔说。“用户必须忽略多个不同的安全措施，才会容易受到他人窃取其凭据的影响。”

灰噪声并未明确指出攻击来自何处，但它确实提到，“这种技术手段的水平表明这是一个资源充足且高度有能力的对手。”网络安全和基础设施安全局（CISA）曾将中国、俄罗斯、朝鲜和伊朗列为过去类似攻击的可能参与者。很少有Wi-Fi路由器能免于此类漏洞的侵袭。CISA维护了一份已知被利用漏洞（KEV）列表，这些漏洞已在野外被观察到，几乎每个路由器制造商都出现在这个列表中。“我们在所有东西中都能找到漏洞，”网络安全公司NetRise的首席执行官托马斯·佩斯，在之前的采访中说道。“CISA KEV列表的问题在于，如果所有东西都在列表上，那么这个列表有多好呢？”佩斯说。“基本上，全球每种电信设备至少有一个漏洞被列入CISA KEV。”

尽管灰噪声最早在3月份就发现了这次攻击，但他们一直等到现在才发布其发现结果，以便与政府和行业合作伙伴协调。华硕代表拒绝了CNET对此故事的评论请求，并引导我查看其产品安全咨询页面以获取最新更新。

如果你拥有华硕路由器该怎么办

在大多数攻击中，路由器制造商可以通过发布固件更新来修复漏洞。但在这种情况下，攻击者利用了一个安全漏洞，即便在重启和固件更新后，后门依然存在。“由于此密钥是通过华硕官方功能添加的，因此此配置更改会在固件升级中得以保留，”灰噪声在另一篇文章中指出。“如果之前已被利用，升级固件将不会移除SSH后门。”

你需要执行的技术步骤来检查你的路由器是否已被攻破——并可能修复它——如下：

1. 登录到路由器的固件。你可以通过华硕应用程序或访问http://www.asusrouter.com来实现。
2. 在服务或管理设置中查找“启用SSH”选项。如果你的路由器在这次活动中被攻破，这些设置将显示有人可以通过53282端口登录，带有截断的SSH公钥：
“`
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…
“`
3. 如果你的路由器未被感染，下一步将是立即更新固件。华硕在其最新更新中修复了该漏洞，应该可以解决这个问题。
4. 如果你的路由器已经被感染，即便更新固件后，后门依然存在。在这种情况下，你需要按照以下步骤阻止未经授权的访问：
– 在服务或管理设置中禁用SSH。
– 封锁这四个IP地址：101.99.91.151、101.99.94.173、79.141.163.179和111.90.146.237。
– 将路由器恢复为出厂设置。
– 更新到最新固件。

(以上内容均由Ai生成)