首页 / 新闻动态 / 2018年的漏洞仍在攻击百万台路由器:RondoDox 僵尸...

2018年的漏洞仍在攻击百万台路由器:RondoDox 僵尸网络揭示老旧设备的安全困局

📅 2026-05-26 10:18:15 | 👁️ 阅读 26 | 📂 新闻动态

事件背景:一个沉睡8年的漏洞被唤醒

2026年5月,网络安全公司 VulnCheck 发布了一份令人警醒的报告:编号为 CVE-2018-5999 的漏洞正在被一个名为 RondoDox 的僵尸网络大规模利用,攻击目标直指全球超过100万台华硕(ASUS)路由器。这个漏洞的 CVSS 评分高达 9.8/10(严重级别),而它的披露时间——是2018年。

一个存在了8年的漏洞,至今仍能精准命中百万级设备,这本身就是对当前网络安全生态的一记响亮耳光。作为长期服务企业IT运维的从业者,我们认为这个案例暴露出的问题远不止"记得打补丁"那么简单。

CVE-2018-5999:一个"无认证即可接管"的致命缺陷

从技术角度看,CVE-2018-5999 属于未授权配置更新漏洞(Unauthenticated Configuration Update)。其攻击链路异常简洁:

  1. 触发条件:攻击者向目标路由器发送特制数据包,将内部配置项 ateCommand_flag 设置为 1。
  2. 接口暴露:该操作会使路由器内部的 infosvr 服务接口对外开放,接受来自外网的未授权配置指令。
  3. 权限篡改:攻击者利用暴露的接口,无需任何认证即可修改路由器管理员密码,完全接管设备。

整个攻击过程不需要任何口令,不需要钓鱼交互,不需要用户点击任何链接——只要路由器暴露在公网且未修复该漏洞,攻击就是"一键式的"。VulnCheck 的初始访问团队在验证测试中成功复现了完整的攻击链,证实了该漏洞的实际可利用性。

RondoDox 僵尸网络:旧漏洞的"集邮爱好者"

RondoDox 自2025年中开始活跃,其运营模式与经典的 Mirai 僵尸网络高度相似,主要攻击运行 Linux 操作系统的物联网和网络设备。但它的一个鲜明特征是大量利用老旧漏洞——据 VulnCheck 统计,RondoDox 关联的已知 CVE 编号高达 170 余个。

被劫持的路由器会被纳入僵尸网络节点,用于发起分布式拒绝服务(DDoS)攻击、中转恶意流量或作为跳板攻击内网其他设备。对于中小企业用户来说,一台被控的路由器意味着:

  • 内部网络流量可能被监听和篡改
  • 企业带宽被恶意消耗,导致正常业务中断
  • 路由器作为跳板攻击内部服务器和办公终端
  • 企业可能因设备被用于网络攻击而承担法律责任

为什么2018年的漏洞到今天还是"活靶子"?

这个案例揭示了三个层面的深层问题:

第一,消费级网络设备的安全维护周期严重不足。根据 VulnCheck《2026年漏洞利用现状报告》,2025年被攻击的互联网边缘设备中,56%是消费级路由器;而僵尸网络利用的漏洞中,65%存在于已停止技术支持(End-of-Life)的设备上。许多用户购买路由器后,从安装那天起就再也没更新过固件,甚至不知道路由器还有"固件升级"这回事。

第二,漏洞信息公开不等于漏洞消亡。CVE-2018-5999 的利用代码自2018年起就已经公开,但直到2026年才出现大规模的实际攻击。这说明攻击者并非没有能力利用,而是在等待合适的时机和攻击载体。当 RondoDox 这样的僵尸网络平台将漏洞"产品化"后,利用门槛大幅降低。

第三,企业和小型机构的网络边界管理存在巨大盲区。很多中小企业的IT管理者对服务器、办公电脑的安全比较重视,但对路由器、交换机、摄像头等网络设备的固件管理往往处于"放养"状态。这些设备恰恰是攻击者进入内网的捷径。

对企业IT运维的三点启示

从我们多年服务北京地区中小企业的实践经验来看,RondoDox 事件至少带来以下启示:

1. 网络设备也需要"资产管理"。把路由器、交换机、防火墙、AP 等所有网络设备纳入IT资产管理清单,记录型号、固件版本、技术支持截止日期。这不是大公司才需要做的事——10个人的小公司同样依赖一台路由器上网,其安全重要性并无差别。

2. 建立固件更新巡检制度。至少每季度检查一次所有网络设备的固件更新状态。对于厂商已停止技术支持的设备,应该列入替换计划,而不是等到出问题再临时抱佛脚。

3. 默认配置≠安全配置。关闭路由器对外暴露的远程管理端口,禁用 UPnP(通用即插即用),修改默认管理员密码,开启防火墙和访问控制列表。这些基础操作能阻断绝大多数自动化攻击。

实用自查与加固建议

如果您的企业或家庭使用了华硕路由器,建议立即执行以下自查步骤:

  • 检查型号和固件版本:登录路由器管理后台,查看系统信息中的固件版本。如果版本日期早于2019年,设备极有可能存在该漏洞。
  • 访问华硕官网下载最新固件:如果设备仍在技术支持周期内,立即更新至最新版本。注意从华硕官方网站下载,避免使用第三方固件源。
  • 检查管理密码是否被修改:如果发现管理员密码被异常更改,说明设备可能已被入侵,建议恢复出厂设置后重新配置。
  • 对于已停产设备:强烈建议更换为仍在安全维护期内的新款路由器。一台几百元的新路由器远比一次安全事件造成的损失小得多。
  • 网络层面加固:在路由器前端增加企业级防火墙,或将路由器配置为桥接模式,由专业的防火墙设备承担网络边界防护职责。

结语

CVE-2018-5999 和 RondoDox 的组合拳,本质上是在提醒我们一个朴素的道理:网络安全的短板,往往不在最新最炫的攻击手法上,而在那些被遗忘在角落里的老旧设备上。

攻击者不需要研究零日漏洞,不需要投入高昂的武器化成本——他们只需要在 Shodan 上搜索未修复的旧路由器,然后按下一个按钮。对于中小企业而言,做好网络设备的基础管理和定期维护,远比追逐最新的安全概念更加务实有效。

如果您对企业网络设备的安全状况存在疑虑,欢迎通过我们的网站留言板或电话与我们联系,我们将提供专业的安全评估和加固服务。

💬 评论 (0)