思科路由器惡意后門驚現(xiàn) 全球19個國家甚至還有運營商受威脅

責任編輯:editor006

2015-09-18 17:04:54

摘自:cnBeta.COM

這次的調(diào)查結(jié)果來自一個計算機科學家團隊,他們挖掘了整個IPv4地址空間中受影響的設備。上面這張圖給出了大致上存在本次安全威脅的分部情況,F(xiàn)ireEye的研究人員已經(jīng)發(fā)出了,闡述如何檢測和移除SYNful Knock安全威脅。

國外媒體報道稱,最近關于攻擊思科系統(tǒng)路由器的事件相較過去又多了很多。據(jù)說目前19個國家至少79臺設備受到安全威脅影響,其中還包括了美國的一家ISP網(wǎng)絡服務提供商,旗下25臺設備都存在惡意后門。

http://static.cnbetacdn.com/article/2015/0917/44e261100f85eeb.png

這次的調(diào)查結(jié)果來自一個計算機科學家團隊,他們挖掘了整個IPv4地址空間中受影響的設備。根據(jù)Ars本周二的報道,在收到一系列非正常不兼容的網(wǎng)絡數(shù)據(jù)包,以及硬編碼密碼之后,所謂的SYNful Knock路由器植入就會激活。通過僅發(fā)送序列錯亂的TCP包,而非密碼至每個地址,監(jiān)控回應,研究人員就能檢測到設備是否受到了該后門的影響。

安全公司FireEye本周二首度報道了SYNful Knock的爆發(fā),這種植入程序在尺寸上和正常的思科路由器映像完全相同,在路由器重啟之后每次都會加載。攻擊者能夠利用它鎖定特定目標。FireEye已經(jīng)在印度、墨西哥、菲律賓、烏克蘭的14臺服務器上發(fā)現(xiàn)了這種植入程序。這對整個安全界來說都是重大事件,這也就意味著這種攻擊處在激活狀態(tài)。最新的研究顯示,其擴張范圍已經(jīng)相當廣泛,美國、加拿大、英國、德國和中國均已存在。

研究人員表示:“這種植入攻擊可以追蹤,我們通過修改ZMap令其發(fā)出特定的TCP SYN包,在無需利用該漏洞的情況下能夠檢測受影響的服務器。我們在2015年9月15日完成了四次公眾IPv4地址空間的掃描,發(fā)現(xiàn)79臺設備存在SYNful Knock植入。這些路由器來自19個不同的國家。我們注意到非洲和亞洲的不少路由器,美國來自一家東海岸的運營商的25臺設備,以及德國和黎巴嫩屬于一家衛(wèi)星服務提供商(提供覆蓋非洲的服務)的部分設備受到影響。”

上面這張圖給出了大致上存在本次安全威脅的分部情況,F(xiàn)ireEye的研究人員已經(jīng)發(fā)出了,闡述如何檢測和移除SYNful Knock安全威脅。

目前已經(jīng)很清楚,SYNful Knock是經(jīng)過專業(yè)開發(fā)、完全利用了后門的設備,能夠影響諸多核心設備。安全研究人員正在尋找背后攻擊及其運作方式的線索。

FireEye本周二報道稱,沒有證據(jù)表明SYNful Knock正在利用任何思科設備的漏洞,F(xiàn)ireEye高層認為,背后的攻擊者可能受到了國家支持,這些攻擊者想要利用已知密碼(有些是出廠默認的,有些是通過一些手段獲取的)的路由器。研究人員表示,如果其他設備制造商造的網(wǎng)絡設備也受到了類似后門的感染,那也算不上奇怪。不過目前還沒有發(fā)現(xiàn)其他品牌的設備受到影響,但研究人員還在進行進一步的互聯(lián)網(wǎng)檢測。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號