70余款设备易受 VPNFilter 攻击,华为、中兴的路由器在列
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月8日讯 思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警称,黑客利用一个复杂的规模化恶意软件 VPNFilter,感染了全球54个国家的50多万台路由器,并构建了庞大的僵尸网络。思科经进一步分析后于6月6日发布最新报告指出,VPNFilter 的感染情况远比预想的糟糕。易受 VPNFilter 攻击的设备从16款增加到70余款,甚至可能更多。
美国部分现任官员和安全专家认为,VPNFilter 与俄罗斯黑客组织 APT28 有关。
70余款设备易受 VPNFilter 攻击
70余款设备易受 VPNFilter 攻击
思科
Talos 安全团队在报告中表示,VPNFilter 感染的设备远不止此前披露的 Linksys、MikroTik
、Netgear、TP-Link、QNAP
等品牌的16款路由器和网络附加存储(NAS)设备。这款恶意软件还可感染更多品牌的路由器,包括华硕、D-Link、华为、Ubiquiti、UPVEL
和中兴,易受影响的设备列表可参见文末。
VPNFilter第三阶段新插件解锁新功能
VPNFilter第三阶段新插件解锁新功能
据研究人员此前的披露,VPNFilter 属于高度模块化的恶意软件框架,实施攻击主要分为三个阶段。
第一阶段恶意软件会通过重启植入,以获取持久立足点,并使第二阶段的恶意软件得以部署,其主要作用是支持第三阶段的插件架构。第三阶段的插件功能包括嗅探网络数据包并拦截流量,监控是否存在 Modubus SCADA 协议,另外通过 Tor 匿名网络与民领域控制(C&C)服务器通信。
此前发现的第三阶段的两个插件如下:
Ps:嗅探网络数据包并检测某些类型的网络流量。思科之前认为,该插件的作用是嗅探 Modbus TCP/IP 数据包。研究人员在最新的报告中称,这款插件还可能用来寻找通过 TP-Link R600 虚拟专用网连接的工业设备。
Tor:通过Tor网络与 C&C 服务器通信。
第三阶段新插件如下:
ssler:通过中间人攻击拦截并修改端口80上的网络流量。该插件也支持将 HTTPS 降级为 HTTP。
Dstr :用于覆写设备固件的文件。思科认为,这个插件可擦除设备固件。
如何移除VPNFilter?
如何移除VPNFilter?
思科上个月曾表示,VPNFilter 并未使用 0Day 漏洞感染设备,因此老旧固件版本的设备存在感染风险。虽然重启设备将移除VPNFilter 第二阶段和第三阶段的组件,但第一阶段仍会在重启后继续存活。研究人员建议,用户升级到最新的固件版本。
如果用户无法更新路由器固件,用户可通过以下步骤永久移除 VPNFilter:
恢复到出厂设置;
修改默认管理员密码;
禁用远程管理功能。
虽然上述步骤可防范 VPNFilter 感染,抵御当前已知的威胁,但却无法一劳永逸地保护设备。一旦当前固件出现新的漏洞利用方式,路由器仍易遭受感染。
已知受影响的设备列表
已知受影响的设备列表
华硕设备:
RT-AC66U(新)
RT-N10(新)
RT-N10E(新)
RT-N10U(新)
RT-N56U(新)
RT-N66U(新)
D-Link设备:
DES-1210-08P(新)
DIR-300(新)
DIR-300A(新)
DSR-250N(新)
DSR-500N(新)
DSR-1000(新)
DSR-1000N(新)
华为设备:
HG8245(新)
Linksys设备:
E1200
E2500
E3000(新)
E3200(新)
E4200(新)
RV082(新)
WRVS4400N
Mikrotik设备:(RouterOS版本6.38.5已修复问题)
CCR1009(新)
CCR1016
CCR1036
CCR1072
CRS109(新)
CRS112(新)
CRS125(新)
RB411(新)
RB450(新)
RB750(新)
RB911(新)
RB921(新)
RB941(新)
RB951(新)
RB952(新)
RB960(新)
RB962(新)
RB1100(新)
RB1200(新)
RB2011(新)
RB3011(新)
RB Groove(新)
RB Omnitik(新)
STX5(新)
Netgear设备:
DG834(新)
DGN1000(新)
DGN2200
DGN3500(新)
FVS318N(新)
MBRN3000(新)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200(新)
WNR4000(新)
WNDR3700(新)
WNDR4000(新)
WNDR4300(新)
WNDR4300-TN(新)
UTM50(新)
QNAP设备:
TS251
TS439 Pro
运行QTS软件的其他QNAP NAS设备
TP-Link设备:
R600VPN
TL-WR741ND(新)
TL-WR841N(新)
Ubiquiti设备:
NSM2(新)
PBE M5(新)
UPVEL设备:
未知型号(新)
中兴通讯设备:
ZXHN H108N(新)
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/2123339095.shtml
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容