写点什么

VPNFilter 已经感染了全球 50 万台以上的路由器

  • 2018-06-03
  • 本文字数:1329 字

    阅读完需:约 4 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

思科公司的安全研究人员发布了一份安全警告,报告中描述了一个复杂的恶意软件系统 VPNFilter,该系统已经感染了分布于54 个国家的至少50 万台网络设备

根据思科公司的说法,至少从2016 年开始,该威胁就一直在增长,而且特别麻烦:

“该恶意软件在网络设备上的行为尤其令人担忧,因为VPNFilter 恶意软件的组件可以窃取网站凭证并监控Modbus SCADA 协议。最后,该恶意软件拥有破坏性能力,可能导致受感染的设备无法使用,这可能会在个别或全部的受感染设备上被激发,并且有切断全球范围内成百上千台受感染设备的互联网接入的潜能。”

思科公司声称,尚不清楚被攻击的确切漏洞,但是,大多数目标设备都具有公开漏洞或默认凭证,这可能使黑客的攻击相对容易。VPNFilter 和其他恶意软件的区别在于,它有一个称为“stage 1”的组件,该组件能够在设备重启动的情况下持续存在。事实上,stage 1 只有一个目标,就是为stage 2 的部署铺平道路,并能够通过一个复杂的机制找出stage 2 部署服务器的IP 地址,该机制能够应对部署架构的变化。Stage 2 恶意软件具有高级能力,比如文件收集、命令执行、数据泄露、设备管理和自我毁灭。此外,这些能力可以通过stage 3 恶意软件扩展,stage 3 可以作为stage 2 恶意软件的插件运行。但是,只有stage 1 可以在重启动后仍能工作,而stage 2 和stage 3 则不能。

根据思科公司的说法,要防范该威胁是极其困难的,因为目标设备有漏洞或默认凭证,对普通用户来说,难以打补丁。尽管如此,思科公司的研究人员已经发布了100 多个Snort 签名,用于VPNFilter 的目标设备上的公开已知漏洞。思科公司建议,所有怀疑受感染的设备恢复到出厂设置,然后通过固件升级和更改默认密码来给已知漏洞打补丁。至少,正如 FBI 确认的那样,你应该重启路由器,以确保移除 stage 2 和 stage 3 恶意软件,直到它们再次被部署。

赛门铁克公司(Symantec)已经提供了一份文件 VPNFilter Q&A ,列出已被识别的目标设备如下:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • 用于云计算核心路由器(Cloud Core Routers)的 RouterOS: 版本 1016、1036 和 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • 其他运行 QTS 软件的 QNAP NAS 设备
  • TP-Link R600VPN

不过,思科公司仍然建议为每一台 SOHO 或 NAS 设备打上补丁,无论它们是否已被 VPNFilter 感染,从而避免因为攻击而带来的风险。

QNAP 已经发布了一个指南,详细介绍了如何从QNAP 设备上移除该恶意软件

Linksys 提供了一个详细列表,列明其所有受影响的设备,以及所有已知的漏洞和固件的更新。

Netgear 也建议,除了安装最新的固件之外,还要禁用所有设备的远程管理

MikroTik 声称,升级其RouterOS 软件会去除 VPNFilter 和任何其他第三方文件,并为其设备的漏洞打上补丁

阅读英文原文: VPNFilter Has Infected Over 500,000 Routers Worldwide


感谢丁涛对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2018-06-03 13:012637
用户头像

发布了 199 篇内容, 共 84.6 次阅读, 收获喜欢 295 次。

关注

评论

发布
暂无评论
发现更多内容

Flink on Yarn三部曲之二:部署和设置

程序员欣宸

flink YARN 12月月更

程序员,阿里P8java大神讲的Spring大家族原理汇总,你确定不看?

钟奕礼

Java java面试 java编程 程序员‘

思路一转,春暖花开!动动手指,这段程序性能又双叒提升2s~15s

靠谱的程序员

MySQL MyBatisPlus Mybatis-Plus

亚马逊 CTO Werner Vogels:2023 年及未来五大技术趋势预测

亚马逊云科技 (Amazon Web Services)

人工智能 大数据 亚马逊云科技

MySQL锁,锁的到底是什么?

Java永远的神

MySQL 数据库 程序员 面试 后端

问题处理,可别头疼医头脚疼医脚

靠谱的程序员

Apache NiFi + MatrixDB 20行代码实现数据实时入库!

YMatrix 超融合数据库

三一重工 超融合数据库 YMatrix apachenifi nifi

Spotify高质量工程生产力实践

俞凡

DevOps 大厂实践 spotify 质量工程

黑盒测试 vs 白盒测试

agnostic

测试 黑盒测试 白盒测试

架构实战-模块1作业

mm

架构实战营 10期

100页6W字的Java面试题,去过大厂面试的程序员都说被问到过

钟奕礼

Java 程序员 java面试 java编程

关于Linux中作业调度 crond 和 systemd.timer 使用场景

山河已无恙

Linux Kenel 12月月更

运维进阶训练营 -W06H

赤色闪电

运维

迎战大厂!“金九银十”和秋招通过率达95%的Java面试要点集锦

钟奕礼

Java 程序员 java面试 java编程

Nginx动静分离、缓存配置、性能调优、集群配置

C++后台开发

nginx 中间件 性能调优 后端开发 C++开发

基础篇之图形学

邱学喆

图形

面向场景级的业务资产沉淀和开放

原力在线

架构 DDD 场景 业务资产

模块一作业

闲人Eric

架构实战营

java面试官:程序员,请你告诉我是谁把公司面试题泄露给你的?

钟奕礼

Java 程序员 java面试 java编程

程序员:平安Java岗面试耗尽了我毕生所学,想了想,还是去阿里吧

钟奕礼

Java 程序员 java面试 java编程

极客时间运维进阶训练营第五周作业

老曹

关于K8s中资源配置范围管理(LimitRange)的一些笔记

山河已无恙

12月月更

关于Linux下Mysql集群同步(主从、一主多从、主从从)部署及同步策略的一些笔记

山河已无恙

12月月更

嵌入式系统软件架构

timerring

嵌入式 12月月更

防治“虚假种草”,小红书技术团队干了这几件大事

小红书技术REDtech

架构实战营模块1第2课 - 如何画出优秀的架构图

净意

下次面试再一上来就问我线程有哪些状态,我上去就是给他一 jio

钟奕礼

Java 程序员 java面试 java编程

关于Linux中通过 Systemd.Path监听配置文件更新自动重启服务的一些笔记

山河已无恙

12月月更

面对当下最热的多模态,为什么这些业界和学界专家说“不必追热点”

小红书技术REDtech

“算法考核没过,老板找我聊了3个小时”:离职程序员重刷数学题

钟奕礼

Java 程序员 java面试 java编程

使用CSS实现图片的磨砂玻璃效果

山河已无恙

12月月更

VPNFilter已经感染了全球50万台以上的路由器_语言 & 开发_Sergio De Simone_InfoQ精选文章