新闻快讯
< >

70余款设备易受 VPNFilter 攻击,华为、中兴的路由器在列

E安全6月8日讯 思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警称,黑客利用一个复杂的规模化恶意软件VPNFilter,感染了全球54个国家的50多万台路由器,并构建了庞大的僵尸网络。思科经进一步分析后于6月6日发布最新报告指出,VPNFilter 的感染情况远比预想的糟糕。易受 VPNFilter 攻击的设备从16款增加到70余款,甚至可能更多。

美国部分现任官员和安全专家认为,VPNFilter 与俄罗斯黑客组织 APT28 有关。

70余款设备易受 VPNFilter 攻击,华为、中兴的路由器在列-E安全

70余款设备易受 VPNFilter 攻击

思科 Talos 安全团队在报告中表示,VPNFilter 感染的设备远不止此前披露的 Linksys、MikroTik 、Netgear、TP-Link、QNAP 等品牌的16款路由器和网络附加存储(NAS)设备。这款恶意软件还可感染更多品牌的路由器,包括华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴,易受影响的设备列表可参见文末。

VPNFilter第三阶段新插件解锁新功能

据研究人员此前的披露,VPNFilter 属于高度模块化的恶意软件框架,实施攻击主要分为三个阶段。

第一阶段恶意软件会通过重启植入,以获取持久立足点,并使第二阶段的恶意软件得以部署,其主要作用是支持第三阶段的插件架构。第三阶段的插件功能包括嗅探网络数据包并拦截流量,监控是否存在 Modubus SCADA 协议,另外通过 Tor 匿名网络与民领域控制(C&C)服务器通信。

此前发现的第三阶段的两个插件如下:

  • Ps:嗅探网络数据包并检测某些类型的网络流量。思科之前认为,该插件的作用是嗅探 Modbus TCP/IP 数据包。研究人员在最新的报告中称,这款插件还可能用来寻找通过 TP-Link R600 虚拟专用网连接的工业设备。

  • Tor:通过Tor网络与 C&C 服务器通信。

第三阶段新插件如下:

  • ssler:通过中间人攻击拦截并修改端口80上的网络流量。该插件也支持将 HTTPS 降级为 HTTP

  • Dstr :用于覆写设备固件的文件。思科认为,这个插件可擦除设备固件。

70余款设备易受 VPNFilter 攻击,华为、中兴的路由器在列-E安全

如何移除VPNFilter?

思科上个月曾表示,VPNFilter 并未使用 0Day 漏洞感染设备,因此老旧固件版本的设备存在感染风险。虽然重启设备将移除VPNFilter 第二阶段和第三阶段的组件,但第一阶段仍会在重启后继续存活。研究人员建议,用户升级到最新的固件版本。

如果用户无法更新路由器固件,用户可通过以下步骤完全移除 VPNFilter:

  • Ÿ恢复到出厂设置;

  • Ÿ修改默认管理员密码;

  • Ÿ禁用远程管理功能。

虽然上述步骤可防范 VPNFilter 感染,抵御当前已知的威胁,但却无法一劳永逸地保护设备。一旦当前固件出现新的漏洞利用方式,路由器仍易遭受感染。

已知受影响的设备列表

华硕设备:

  • RT-AC66U(新)

  • RT-N10(新)

  • RT-N10E(新)

  • RT-N10U(新)

  • RT-N56U(新)

  • RT-N66U(新)

D-Link设备:

  • DES-1210-08P(新)

  • DIR-300(新)

  • DIR-300A(新)

  • DSR-250N(新)

  • DSR-500N(新)

  • DSR-1000(新)

  • DSR-1000N(新)

华为设备:

  • HG8245(新)

Linksys设备:

  • E1200

  • E2500

  • E3000(新)

  • E3200(新)

  • E4200(新)

  • RV082(新)

  • WRVS4400N

Mikrotik设备:(RouterOS版本6.38.5已修复问题)

  • CCR1009(新)

  • CCR1016

  • CCR1036

  • CCR1072

  • CRS109(新)

  • CRS112(新)

  • CRS125(新)

  • RB411(新)

  • RB450(新)

  • RB750(新)

  • RB911(新)

  • RB921(新)

  • RB941(新)

  • RB951(新)

  • RB952(新)

  • RB960(新)

  • RB962(新)

  • RB1100(新)

  • RB1200(新)

  • RB2011(新)

  • RB3011(新)

  • RB Groove(新)

  • RB Omnitik(新)

  • STX5(新)

Netgear设备:

  • DG834(新)

  • DGN1000(新)

  • DGN2200

  • DGN3500(新)

  • FVS318N(新)

  • MBRN3000(新)

  • R6400

  • R7000

  • R8000

  • WNR1000

  • WNR2000

  • WNR2200(新)

  • WNR4000(新)

  • WNDR3700(新)

  • WNDR4000(新)

  • WNDR4300(新)

  • WNDR4300-TN(新)

  • UTM50(新)

QNAP设备:

  • TS251

  • TS439 Pro

  • 运行QTS软件的其他QNAP NAS设备

TP-Link设备:

  • R600VPN

  • TL-WR741ND(新)

  • TL-WR841N(新)

Ubiquiti设备:

  • NSM2(新)

  • PBE M5(新)

UPVEL设备:

  • 未知型号(新)

中兴通讯设备:

  • ZXHN H108N(新)

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。