在之前思科發(fā)生的一些有關(guān)路由器安全問題之后��,有相關(guān)人士分析認(rèn)為這些安全漏洞已經(jīng)被隱藏了多年����,就像OpenSSL的Heartbleed一樣���。而這背后的主要問題就出在思科路由器上潛伏的SYNful����。
在之前思科發(fā)生的一些有關(guān)路由器安全問題之后��,有相關(guān)人士分析認(rèn)為這些安全漏洞已經(jīng)被隱藏了多年����,就像OpenSSL的Heartbleed一樣。而這背后的主要問題就出在思科路由器上潛伏的SYNful��。
SYNful最具危險性的特點(diǎn)是可升級
作為SYNful的最具危險性的特點(diǎn)是:它可以升級��。由安全公司FireEye發(fā)現(xiàn)SYNful是一個由用戶擊潰安全的典型例子�。這種惡意軟件,已經(jīng)發(fā)現(xiàn)在Cisco 1841��、2811和3825的路由器上��,但這其實(shí)不是出現(xiàn)在Cisco所用的IOS系統(tǒng)中����。而是它搶走了管理員自己的管理憑據(jù)和給予路由器的物理訪問權(quán)限。
黑客闖入房子的時候你給了他鑰匙����?
我們知道,一旦黑客在路由器中植入了這種惡意軟件����,那么,就可以利用這個后門針對路由器的固件映像的版本來替換思科路由器操作系統(tǒng)�����。然后可以在網(wǎng)絡(luò)中進(jìn)行隱藏。一旦現(xiàn)身����,這種定制的模塊化惡意程序就可以更新,在網(wǎng)絡(luò)傷口上再撒上一把鹽���,這個后門可能很難發(fā)現(xiàn)�����,因?yàn)樗褂梅菢?biāo)準(zhǔn)的數(shù)據(jù)包��,即偽認(rèn)證的一種形式���。
根據(jù)FireEye的調(diào)查稱,“后門采用秘密后門密碼給攻擊者不受限制的訪問�����。每個模塊都通過HTTP協(xié)議(而不是HTTPS)啟用���,使用發(fā)送到路由器接口一個特制的TCP數(shù)據(jù)包�����,數(shù)據(jù)包有一個非標(biāo)準(zhǔn)的順序和相應(yīng)的確認(rèn)號碼��。該模塊可以體現(xiàn)自己的路由器IOS提供類似的后門密碼的功能中作為獨(dú)立的可執(zhí)行代碼或掛鉤的后門密碼才能訪問真正的控制臺和Telnet的路由器���。“
另外,一些學(xué)者已經(jīng)搜查了通過互聯(lián)網(wǎng)IPv4與ZMAP感染的Cisco路由器�。到目前為止,已經(jīng)找到了“79臺主機(jī)顯示的行為與SYNful植入特征相似�。”
然而,這個事件告訴我們安全不僅僅因?yàn)樽陨淼某绦虮容^弱����,再強(qiáng)的軟件也不能保障萬無一失,因?yàn)檫@不意味著攻擊者不能“升級”�����。所以在此期間����,您的網(wǎng)絡(luò)仍然是敞開各種數(shù)據(jù)在襲擊和加載其他惡意程序的威脅之下。
最后,還是建議各位應(yīng)該盡快檢查一下���,如果你的路由器已被病毒感染����,那么請盡快使用Snort的新思科塔洛斯Snort規(guī)則SID:36054��。
