曼迪安特警告:思科商业路由固件被感染
作者:星期三, 九月 16, 20150

路由器正常固件被恶意代码感染了的固件代替已不再是理论上的概念,曼迪安特(Mandiant)的研究人员检测到了真实世界的攻击,他们在四个国家发现了被植入恶意固件的商业路由器。

640.webp

这个恶意固件被命名为“SYNful Knock”,可提供高级别的后门访问权限。与普通路由器感染的恶意软件不同,即使路由器重启也无法令后门消失。SYNful Knock 是IOS操作系统的修改版,运行在思科制造的专业路由和网关上。目前发现受到影响的设备为Cisco 1841/8211/3825,这三种路由器在企业分支机构或网络服务管理提供商中广泛使用。

曼迪安特分别在墨西哥、乌克兰、印度和菲律宾发现14台路由器被感染,虽然这些受到影响的路由器型号思科已经不再出售,但无法保证新型号的路由器不会成为被攻击的目标。

研究人员发现,SYNful Knock 并非通过漏洞安装,很可能是通过默认密码或盗取管理员密码之后安装的,而且篡改后的固件映像文件与原始文件一样大小。该恶意固件可能一个后门口令进行Telnet和控制台访问,同时倾听特殊构造的 TCP SYN 数据包以执行命令,把恶意代码模块注入内存,这也正是其命名的由来。

曼迪安特发布的一份白皮书中提供可以检测 SYNful Knock 的入侵指示器,这个火眼的子公司警告业内,此种攻击形式将会快速增长并流行。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!