科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全思科路由器恶意后门惊现 运营商受威胁

思科路由器恶意后门惊现 运营商受威胁

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

国外媒体报道称,最近关于攻击思科系统路由器的事件相较过去又多了很多。据说目前19个国家至少79台设备受到安全威胁影响,其中还包括了美国的一家ISP网络服务提供商,旗下25台设备都存在恶意后门。

来源:IT专家网 2015年9月22日

关键字: 思科 路由器 网络攻击

  • 评论
  • 分享微博
  • 分享邮件

国外媒体报道称,最近关于攻击思科系统路由器的事件相较过去又多了很多。据说目前19个国家至少79台设备受到安全威胁影响,其中还包括了美国的一家ISP网络服务提供商,旗下25台设备都存在恶意后门。

http://static.cnbetacdn.com/article/2015/0917/44e261100f85eeb.png

这次的调查结果来自一个计算机科学家团队,他们挖掘了整个IPv4地址空间中受影响的设备。根据Ars本周二的报道,在收到一系列非正常不兼容的网络数据包,以及硬编码密码之后,所谓的SYNful Knock路由器植入就会激活。通过仅发送序列错乱的TCP包,而非密码至每个地址,监控回应,研究人员就能检测到设备是否受到了该后门的影响。

安全公司FireEye本周二首度报道了SYNful Knock的爆发,这种植入程序在尺寸上和正常的思科路由器映像完全相同,在路由器重启之后每次都会加载。攻击者能够利用它锁定特定目标。FireEye已经在印度、墨西哥、菲律宾、乌克兰的14台服务器上发现了这种植入程序。这对整个安全界来说都是重大事件,这也就意味着这种攻击处在激活状态。最新的研究显示,其扩张范围已经相当广泛,美国、加拿大、英国、德国和中国均已存在。

研究人员表示:“这种植入攻击可以追踪,我们通过修改ZMap令其发出特定的TCP SYN包,在无需利用该漏洞的情况下能够检测受影响的服务器。我们在2015年9月15日完成了四次公众IPv4地址空间的扫描,发现79台设备存在SYNful Knock植入。这些路由器来自19个不同的国家。我们注意到非洲和亚洲的不少路由器,美国来自一家东海岸的运营商的25台设备,以及德国和黎巴嫩属于一家卫星服务提供商(提供覆盖非洲的服务)的部分设备受到影响。”

上面这张图给出了大致上存在本次安全威胁的分部情况,FireEye的研究人员已经发出了,阐述如何检测和移除SYNful Knock安全威胁。

目前已经很清楚,SYNful Knock是经过专业开发、完全利用了后门的设备,能够影响诸多核心设备。安全研究人员正在寻找背后攻击及其运作方式的线索。

FireEye本周二报道称,没有证据表明SYNful Knock正在利用任何思科设备的漏洞,FireEye高层认为,背后的攻击者可能受到了国家支持,这些攻击者想要利用已知密码(有些是出厂默认的,有些是通过一些手段获取的)的路由器。研究人员表示,如果其他设备制造商造的网络设备也受到了类似后门的感染,那也算不上奇怪。不过目前还没有发现其他品牌的设备受到影响,但研究人员还在进行进一步的互联网检测。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章