國外媒體報道稱����,最近關(guān)于攻擊思科系統(tǒng)路由器的事件相較過去又多了很多�����。據(jù)說目前19個國家至少79臺設(shè)備受到安全威脅影響��,其中還包括了美國的一家ISP網(wǎng)絡(luò)服務(wù)提供商���,旗下25臺設(shè)備都存在惡意后門�。
國外媒體報道稱���,最近關(guān)于攻擊思科系統(tǒng)路由器的事件相較過去又多了很多���。據(jù)說目前19個國家至少79臺設(shè)備受到安全威脅影響,其中還包括了美國的一家ISP網(wǎng)絡(luò)服務(wù)提供商�����,旗下25臺設(shè)備都存在惡意后門�。
這次的調(diào)查結(jié)果來自一個計算機科學家團隊,他們挖掘了整個IPv4地址空間中受影響的設(shè)備���。根據(jù)Ars本周二的報道�,在收到一系列非正常不兼容的網(wǎng)絡(luò)數(shù)據(jù)包���,以及硬編碼密碼之后����,所謂的SYNful Knock路由器植入就會激活�����。通過僅發(fā)送序列錯亂的TCP包����,而非密碼至每個地址,監(jiān)控回應(yīng)����,研究人員就能檢測到設(shè)備是否受到了該后門的影響。
安全公司FireEye本周二首度報道了SYNful Knock的爆發(fā)���,這種植入程序在尺寸上和正常的思科路由器映像完全相同��,在路由器重啟之后每次都會加載��。攻擊者能夠利用它鎖定特定目標��。FireEye已經(jīng)在印度�����、墨西哥����、菲律賓、烏克蘭的14臺服務(wù)器上發(fā)現(xiàn)了這種植入程序��。這對整個安全界來說都是重大事件����,這也就意味著這種攻擊處在激活狀態(tài)。最新的研究顯示��,其擴張范圍已經(jīng)相當廣泛����,美國、加拿大、英國��、德國和中國均已存在����。
研究人員表示:“這種植入攻擊可以追蹤�����,我們通過修改ZMap令其發(fā)出特定的TCP SYN包�,在無需利用該漏洞的情況下能夠檢測受影響的服務(wù)器。我們在2015年9月15日完成了四次公眾IPv4地址空間的掃描����,發(fā)現(xiàn)79臺設(shè)備存在SYNful Knock植入。這些路由器來自19個不同的國家����。我們注意到非洲和亞洲的不少路由器,美國來自一家東海岸的運營商的25臺設(shè)備����,以及德國和黎巴嫩屬于一家衛(wèi)星服務(wù)提供商(提供覆蓋非洲的服務(wù))的部分設(shè)備受到影響。”
上面這張圖給出了大致上存在本次安全威脅的分部情況���,F(xiàn)ireEye的研究人員已經(jīng)發(fā)出了���,闡述如何檢測和移除SYNful Knock安全威脅����。
目前已經(jīng)很清楚���,SYNful Knock是經(jīng)過專業(yè)開發(fā)��、完全利用了后門的設(shè)備���,能夠影響諸多核心設(shè)備。安全研究人員正在尋找背后攻擊及其運作方式的線索�����。
FireEye本周二報道稱�,沒有證據(jù)表明SYNful Knock正在利用任何思科設(shè)備的漏洞,F(xiàn)ireEye高層認為��,背后的攻擊者可能受到了國家支持�,這些攻擊者想要利用已知密碼(有些是出廠默認的,有些是通過一些手段獲取的)的路由器�。研究人員表示,如果其他設(shè)備制造商造的網(wǎng)絡(luò)設(shè)備也受到了類似后門的感染,那也算不上奇怪����。不過目前還沒有發(fā)現(xiàn)其他品牌的設(shè)備受到影響,但研究人員還在進行進一步的互聯(lián)網(wǎng)檢測�����。
