當前位置:
首頁 > 科技 > 70餘款設備易受 VPNFilter 攻擊,華為、中興的路由器在列

70餘款設備易受 VPNFilter 攻擊,華為、中興的路由器在列

科技 06-09

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月8日訊 思科和賽門鐵克公司於美國時間2018年5月23日陸續發出安全預警稱,黑客利用一個複雜的規模化惡意軟體 VPNFilter,感染了全球54個國家的50多萬台路由器,並構建了龐大的殭屍網路。思科經進一步分析後於6月6日發布最新報告指出,VPNFilter 的感染情況遠比預想的糟糕。易受 VPNFilter 攻擊的設備從16款增加到70餘款,甚至可能更多。

美國部分現任官員和安全專家認為,VPNFilter 與俄羅斯黑客組織 APT28有關。

70餘款設備易受 VPNFilter 攻擊,華為、中興的路由器在列

70餘款設備易受 VPNFilter 攻擊

思科 Talos 安全團隊在報告中表示,VPNFilter 感染的設備遠不止此前披露的 Linksys、MikroTik 、Netgear、TP-Link、QNAP 等品牌的16款路由器和網路附加存儲(NAS)設備。這款惡意軟體還可感染更多品牌的路由器,包括華碩、D-Link、華為、Ubiquiti、UPVEL 和中興,易受影響的設備列表可參見文末。

VPNFilter第三階段新插件解鎖新功能

據研究人員此前的披露,VPNFilter 屬於高度模塊化的惡意軟體框架,實施攻擊主要分為三個階段。

第一階段惡意軟體會通過重啟植入,以獲取持久立足點,並使第二階段的惡意軟體得以部署,其主要作用是支持第三階段的插件架構。第三階段的插件功能包括嗅探網路數據包並攔截流量,監控是否存在 Modubus SCADA 協議,另外通過 Tor 匿名網路與民領域控制(C&C)伺服器通信。

此前發現的第三階段的兩個插件如下:

  • Ps:嗅探網路數據包並檢測某些類型的網路流量。思科之前認為,該插件的作用是嗅探 Modbus TCP/IP 數據包。研究人員在最新的報告中稱,這款插件還可能用來尋找通過 TP-Link R600 虛擬專用網連接的工業設備。

  • Tor:通過Tor網路與 C&C 伺服器通信。

第三階段新插件如下:

  • ssler:通過中間人攻擊攔截並修改埠80上的網路流量。該插件也支持將 HTTPS 降級為 HTTP

  • Dstr :用於覆寫設備固件的文件。思科認為,這個插件可擦除設備固件。

70餘款設備易受 VPNFilter 攻擊,華為、中興的路由器在列

如何移除VPNFilter?

思科上個月曾表示,VPNFilter 並未使用 0Day 漏洞感染設備,因此老舊固件版本的設備存在感染風險。雖然重啟設備將移除VPNFilter 第二階段和第三階段的組件,但第一階段仍會在重啟後繼續存活。研究人員建議,用戶升級到最新的固件版本。

如果用戶無法更新路由器固件,用戶可通過以下步驟永久移除 VPNFilter:


  • ?恢復到出廠設置;

  • ?修改默認管理員密碼;

  • ?禁用遠程管理功能。

雖然上述步驟可防範 VPNFilter 感染,抵禦當前已知的威脅,但卻無法一勞永逸地保護設備。一旦當前固件出現新的漏洞利用方式,路由器仍易遭受感染。

已知受影響的設備列表華碩設備:

  • RT-AC66U(新)

  • RT-N10(新)

  • RT-N10E(新)

  • RT-N10U(新)

  • RT-N56U(新)

  • RT-N66U(新)

D-Link設備:

  • DES-1210-08P(新)

  • DIR-300(新)

  • DIR-300A(新)

  • DSR-250N(新)

  • DSR-500N(新)

  • DSR-1000(新)

  • DSR-1000N(新)

華為設備:

  • HG8245(新)

Linksys設備:

  • E1200

  • E2500

  • E3000(新)

  • E3200(新)

  • E4200(新)

  • RV082(新)

  • WRVS4400N

Mikrotik設備:(RouterOS版本6.38.5已修復問題)

  • CCR1009(新)

  • CCR1016

  • CCR1036

  • CCR1072

  • CRS109(新)

  • CRS112(新)

  • CRS125(新)

  • RB411(新)

  • RB450(新)

  • RB750(新)

  • RB911(新)

  • RB921(新)

  • RB941(新)

  • RB951(新)

  • RB952(新)

  • RB960(新)

  • RB962(新)

  • RB1100(新)

  • RB1200(新)

  • RB2011(新)

  • RB3011(新)

  • RB Groove(新)

  • RB Omnitik(新)

  • STX5(新)

Netgear設備:

  • DG834(新)

  • DGN1000(新)

  • DGN2200

  • DGN3500(新)

  • FVS318N(新)

  • MBRN3000(新)

  • R6400

  • R7000

  • R8000

  • WNR1000

  • WNR2000

  • WNR2200(新)

  • WNR4000(新)

  • WNDR3700(新)

  • WNDR4000(新)

  • WNDR4300(新)

  • WNDR4300-TN(新)

  • UTM50(新)

QNAP設備:

  • TS251

  • TS439 Pro

  • 運行QTS軟體的其他QNAP NAS設備

TP-Link設備:

  • R600VPN

  • TL-WR741ND(新)

  • TL-WR841N(新)

Ubiquiti設備:

  • NSM2(新)

  • PBE M5(新)

UPVEL設備:

  • 未知型號(新)

中興通訊設備:

  • ZXHN H108N(新)

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 E安全 的精彩文章:

警告!黑客組織Iron瞄準中國門羅幣錢包發起攻擊
一條簡訊遠程啟動Bicho後門,CAN匯流排汽車無一倖免

TAG:E安全 |