根据GreyNoise的最新报告，超过9000台华硕品牌的路由器被一种新的僵尸网络AyySSHush感染，攻击者在这些设备中添加了一种即使在固件更新后仍然存在的持久SSH后门。这一安全漏洞使得攻击者可以在未经授权的情况下远程控制这些路由器，从而为未来的各种网络攻击做好准备。

研究人员发现，这种攻击主要针对ASUS RT-AX55路由器，攻击者利用暴力破解技术和已知的身份验证漏洞进行入侵。CVE-2023-39780漏洞被利用，以开启TCP/53282端口上的SSH，并通过添加攻击者的公钥来实现未经授权的访问。同时，他们会禁用日志记录功能，以掩盖其攻击行为。这些后门保持在NVRAM中，即使设备重启或进行固件更新后也不会消失。尽管华硕公司已经发布了补丁，但感染过的设备并不会自动清除这些后门。

据报告，GreyNoise的监测系统在2025年3月17日首次记录到可疑活动，并将在后续的几个月中观察到了进一步的入侵活动。该活动与ViciousTrap黑客组织的行为一致。此组织对全球范围内的网络设备发动攻击，尤其是在不包括中国的地区，这一情况可能显示了中国黑客的影响迹象。GreyNoise的传感器记录到在三个月内仅有30个相关请求，这意味着该攻击活动的隐蔽程度相当高。

专家们建议，华硕路由器的所有者应立即进行固件更新，检查SSH的之前设置，清理authorized_keys文件，并在出现可疑迹象时执行全面重置。应该避免在没有紧急需要的情况下启用远程控制功能。AyySSHush很可能只是形成一个用于未来DDoS攻击或代理连接构建的庞大僵尸网络的第一步。

这一事件不仅暴露了现代路由器的脆弱性，也提醒了我们在物联网设备使用过程中的应对措施和风险管理策略。随着网络攻击变得愈发复杂，用户必须对网络安全保持高度警惕，及时采取必要的防护措施。此外，这一事件也引发了对网络设备制造商在安全设计和固件更新方面责任的严肃讨论。

网络安全专家强调，这一攻击显示了攻击者如何利用现有的安全漏洞来建立起一整套的对其目标进行长期监控和控制的能力。用户们需迅速更新防护措施，以避免可能的财产损失和隐私泄露。随着未来网络更深层次的整合，相关法律和监管也需对不断演变的网络犯罪行为作出及时响应。

综上所述，AyySSHush的出现无疑为全球互联网的安全格局敲响了警钟，各大路由器制造商需加强产品的安全性，而每一位用户也应当提升自身的网络安全意识，不断更新自己对网络威胁的认识和防范策略，以应对日益严峻的网络攻击环境。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！