[情报] VPNFilter灾情超乎预期,华硕、D-Link、

楼主: EijiHoba (我要好工作)   2018-06-07 14:50:34
VPNFilter灾情超乎预期,华硕、D-Link、华为与中兴装置都遭殃
Talos指出VPNFilter感染的连网装置超出预期,涵盖了华硕、D-Link、华为、Ubiquiti、UPVEL与中兴等等,搭配的恶意模组功能也不容小看,可将HTTPS加密传输降为HTTP,可抹减踪迹与装置运作的必要档案。
文/陈晓莉 | 2018-06-07发表
思科(Cisco)旗下的威胁情报组织Talos上个月揭露了相信是由俄罗斯骇客集团Fancy Bear主导的VPNFilter攻击行动,该行动感染了全球54个国家的50万台网络装置,经过进一步分析后,Talos本周指出,VPNFilter的能力超乎当初的想像,不论是感染范围或是恶意模组的能力都更形严重。
根据Talos上个月的初步分析,VPNFilter锁定感染Linksys、MikroTik、NETGEAR与TP-Link等品牌的路由器,以及QNAP网络储存装置,也对基于Modbus SCADA协定的工业控制系统特别有兴趣,它能监控装置流量、窃取网站凭证,亦可切断装置的连网能力或让装置无法使用,还能长久进驻受骇装置,无法借由简单的重开机移除它,而是得回复装置出厂配置。
然而,本周Talos发现太小看VPNFilter的能力了,它的感染范围不仅限于上述,还包括ASUS、D-Link、华为、Ubiquiti、UPVEL与中兴等装置;所搭配的恶意模组ssller亦能把HTTPS加密传输降级为HTTP传输,dstr模组则能移除VPNFilter的踪迹与装置运作的必要档案。
分析显示,ssller模组能够拦截该装置上所有借由port 80递送的流量,可窃取资料并注入JavaScript,以用来攻陷同一网络所连结的其它装置,亦试图将HTTPS传输降级至HTTP。
至于dstr模组则会移除装置正常运作所需的档案,以造成被骇装置失效,在移除装置上的档案之前,它会先抹灭VPNFilter行动的踪迹。
Talos警告,这些能力意味着假使骇客成功地入侵这些终端装置,即可于该环境中部署任何的恶意功能,像是rootkit、窃取资料或毁灭装置。
https://www.ithome.com.tw/news/123708
作者: aahome (少说话)   2018-06-07 20:19:00
结果骇客是厂商自己人
作者: oversky0 (oversky0)   2018-06-08 08:21:00
是原厂 firmware 就被感染,还是本来没问题会被入侵?
作者: seiya2000 (风见)   2018-06-08 09:24:00
新闻讲的不清不楚的,有没有办法解决也没说
作者: netpchome (寄居蟹)   2018-06-09 01:29:00
就算有问题,厂家一定是否认的。
作者: zonppp (冷凉卡好)   2018-06-11 17:39:00
https://forum.mikrotik.com/viewtopic.php?t=134754mikrotik 的回应是说 2017 就修掉了这个bug应该是原厂韧体就有这个问题

Links booklink

Contact Us: admin [ a t ] ucptt.com