70余款设备易受 VPNFilter 攻击,华为、中兴的路由器在列

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全6月8日讯 思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警称,黑客利用一个复杂的规模化恶意软件 VPNFilter,感染了全球54个国家的50多万台路由器,并构建了庞大的僵尸网络。思科经进一步分析后于6月6日发布最新报告指出,VPNFilter 的感染情况远比预想的糟糕。易受 VPNFilter 攻击的设备从

16款增加到70余款,甚至可能更多。

美国部分现任官员和安全专家认为,VPNFilter 与俄罗斯黑客组织 APT28有关。

70余款设备易受 VPNFilter 攻击

思科 Talos 安全团队在报告中表示,VPNFilter 感染的设备远不止此前披露的 Linksys、MikroTik 、Netgear、TP-Link、QNAP 等品牌的16款路由器和网络附加存储(NAS)设备。这款恶意软件还可感染更多品牌的路由器,包括华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴,易受影响的设备列表可参见文末。

VPNFilter第三阶段新插件解锁新功能

据研究人员此前的披露,VPNFilter 属于高度模块化的恶意软件框架,实施攻击主要分为三个阶段。

第一阶段恶意软件会通过重启植入,以获取持久立足点,并使第二阶段的恶意软件得以部署,其主要作用是支持第三阶段的插件架构。第三阶段的插件功能包括嗅探网络数据包并拦截流量,监控是否存在 Modubus SCADA 协议,另外通过 Tor 匿名网络与民领域控制(C&C)服务器通信。

此前发现的第三阶段的两个插件如下:

Ps:嗅探网络数据包并检测某些类型的网络流量。思科之前认为,该插件的作用是嗅探 Modbus TCP/IP 数据包。研究人员在最新的报告中称,这款插件还可能用来寻找通过 TP-Link R600 虚拟专用网连接的工业设备。

Tor:通过Tor网络与 C&C 服务器通信。

第三阶段新插件如下:

ssler:通过中间人攻击拦截并修改端口80上的网络流量。该插件也支持将 HTTPS 降级为 HTTP

Dstr :用于覆写设备固件的文件。思科认为,这个插件可擦除设备固件。

如何移除VPNFilter?

思科上个月曾表示,VPNFilter 并未使用 0Day 漏洞感染设备,因此老旧固件版本的设备存在感染风险。虽然重启设备将移除VPNFilter 第二阶段和第三阶段的组件,但第一阶段仍会在重启后继续存活。研究人员建议,用户升级到最新的固件版本。

如果用户无法更新路由器固件,用户可通过以下步骤永久移除 VPNFilter:

Ÿ恢复到出厂设置;

Ÿ修改默认管理员密码;

Ÿ禁用远程管理功能。

虽然上述步骤可防范 VPNFilter 感染,抵御当前已知的威胁,但却无法一劳永逸地保护设备。一旦当前固件出现新的漏洞利用方式,路由器仍易遭受感染。

已知受影响的设备列表

华硕设备:

RT-AC66U(新)

RT-N10(新)

RT-N10E(新)

RT-N10U(新)

RT-N56U(新)

RT-N66U(新)

D-Link设备:

DES-1210-08P(新)

DIR-300(新)

DIR-300A(新)

DSR-250N(新)

DSR-500N(新)

DSR-1000(新)

DSR-1000N(新)

华为设备:

HG8245(新)

Linksys设备:

E1200

E2500

E3000(新)

E3200(新)

E4200(新)

RV082(新)

WRVS4400N

Mikrotik设备:(RouterOS版本6.38.5已修复问题)

CCR1009(新)

CCR1016

CCR1036

CCR1072

CRS109(新)

CRS112(新)

CRS125(新)

RB411(新)

RB450(新)

RB750(新)

RB911(新)

RB921(新)

RB941(新)

RB951(新)

RB952(新)

RB960(新)

RB962(新)

RB1100(新)

RB1200(新)

RB2011(新)

RB3011(新)

RB Groove(新)

RB Omnitik(新)

STX5(新)

Netgear设备:

DG834(新)

DGN1000(新)

DGN2200

DGN3500(新)

FVS318N(新)

MBRN3000(新)

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200(新)

WNR4000(新)

WNDR3700(新)

WNDR4000(新)

WNDR4300(新)

WNDR4300-TN(新)

UTM50(新)

QNAP设备:

TS251

TS439 Pro

运行QTS软件的其他QNAP NAS设备

TP-Link设备:

R600VPN

TL-WR741ND(新)

TL-WR841N(新)

Ubiquiti设备:

NSM2(新)

PBE M5(新)

UPVEL设备:

未知型号(新)

中兴通讯设备:

ZXHN H108N(新)