70余款设备易受 VPNFilter 攻击,华为、中兴的路由器在列
VPNFilter实施攻击主要分为三个阶段,第三阶段新插件解锁新功能...
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月8日讯 思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警称,黑客利用一个复杂的规模化恶意软件 VPNFilter,感染了全球54个国家的50多万台路由器,并构建了庞大的僵尸网络。思科经进一步分析后于6月6日发布最新报告指出,VPNFilter 的感染情况远比预想的糟糕。易受 VPNFilter 攻击的设备从16款增加到70余款,甚至可能更多。美国部分现任官员和安全专家认为,VPNFilter 与俄罗斯黑客组织 APT28 有关。
70余款设备易受 VPNFilter 攻击
思科Talos 安全团队在报告中表示,VPNFilter 感染的设备远不止此前披露的 Linksys、MikroTik
、Netgear、TP-Link、QNAP
等品牌的16款路由器和网络附加存储(NAS)设备。这款恶意软件还可感染更多品牌的路由器,包括华硕、D-Link、华为、Ubiquiti、UPVEL
和中兴,易受影响的设备列表可参见文末。
VPNFilter第三阶段新插件解锁新功能
据研究人员此前的披露,VPNFilter 属于高度模块化的恶意软件框架,实施攻击主要分为三个阶段。第一阶段恶意软件会通过重启植入,以获取持久立足点,并使第二阶段的恶意软件得以部署,其主要作用是支持第三阶段的插件架构。第三阶段的插件功能包括嗅探网络数据包并拦截流量,监控是否存在
Modubus SCADA 协议,另外通过 Tor 匿名网络与民领域控制(C&C)服务器通信。
此前发现的第三阶段的两个插件如下:
- Ps:嗅探网络数据包并检测某些类型的网络流量。思科之前认为,该插件的作用是嗅探 Modbus TCP/IP 数据包。研究人员在最新的报告中称,这款插件还可能用来寻找通过 TP-Link R600 虚拟专用网连接的工业设备。
- Tor:通过Tor网络与 C&C 服务器通信。
第三阶段新插件如下:
- ssler:通过中间人攻击拦截并修改端口80上的网络流量。该插件也支持将 HTTPS 降级为 HTTP。
- Dstr :用于覆写设备固件的文件。思科认为,这个插件可擦除设备固件。
如何移除VPNFilter?
思科上个月曾表示,VPNFilter 并未使用 0Day 漏洞感染设备,因此老旧固件版本的设备存在感染风险。虽然重启设备将移除VPNFilter 第二阶段和第三阶段的组件,但第一阶段仍会在重启后继续存活。研究人员建议,用户升级到最新的固件版本。如果用户无法更新路由器固件,用户可通过以下步骤永久移除 VPNFilter:
虽然上述步骤可防范 VPNFilter 感染,抵御当前已知的威胁,但却无法一劳永逸地保护设备。一旦当前固件出现新的漏洞利用方式,路由器仍易遭受感染。
- 恢复到出厂设置;
- 修改默认管理员密码;
- 禁用远程管理功能。
已知受影响的设备列表
华硕设备:
- RT-AC66U(新)
- RT-N10(新)
- RT-N10E(新)
- RT-N10U(新)
- RT-N56U(新)
- RT-N66U(新)
D-Link设备:
- DES-1210-08P(新)
- DIR-300(新)
- DIR-300A(新)
- DSR-250N(新)
- DSR-500N(新)
- DSR-1000(新)
- DSR-1000N(新)
华为设备:
- HG8245(新)
Linksys设备:
- E1200
- E2500
- E3000(新)
- E3200(新)
- E4200(新)
- RV082(新)
- WRVS4400N
Mikrotik设备:(RouterOS版本6.38.5已修复问题)
- CCR1009(新)
- CCR1016
- CCR1036
- CCR1072
- CRS109(新)
- CRS112(新)
- CRS125(新)
- RB411(新)
- RB450(新)
- RB750(新)
- RB911(新)
- RB921(新)
- RB941(新)
- RB951(新)
- RB952(新)
- RB960(新)
- RB962(新)
- RB1100(新)
- RB1200(新)
- RB2011(新)
- RB3011(新)
- RB Groove(新)
- RB Omnitik(新)
- STX5(新)
Netgear设备:
- DG834(新)
- DGN1000(新)
- DGN2200
- DGN3500(新)
- FVS318N(新)
- MBRN3000(新)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200(新)
- WNR4000(新)
- WNDR3700(新)
- WNDR4000(新)
- WNDR4300(新)
- WNDR4300-TN(新)
- UTM50(新)
QNAP设备:
- TS251
- TS439 Pro
- 运行QTS软件的其他QNAP NAS设备
TP-Link设备:
- R600VPN
- TL-WR741ND(新)
- TL-WR841N(新)
Ubiquiti设备:
- NSM2(新)
- PBE M5(新)
UPVEL设备:
- 未知型号(新)
中兴通讯设备:
- ZXHN H108N(新)
推荐阅读:注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/2123339095.shtml
- 54个国家大量路由器被僵尸网络VPNFilter控制
- Moxa工业路由器曝17项漏洞:多项高危
- Westermo多个工业级路由器存在高危漏洞
- 6大绝招终结路由器被隔壁蹭网!
- 2017僵尸网络“盛行”国家:中国第三
- 400万手机被僵尸网络DressCode感染,谷歌下架数百个APP
- 基于Python的挖矿僵尸出没,小心你的Linux
▼点击“阅读原文” 查看更多精彩内容
关注 E安全
微信扫一扫关注公众号