思科公司Omar Santos
過(guò)去���,黑客將網(wǎng)絡(luò)設(shè)備作為攻擊目標(biāo)��,通過(guò)制造拒絕服務(wù)(DoS)攻擊造成網(wǎng)絡(luò)中斷�,這類攻擊在如今仍是網(wǎng)絡(luò)設(shè)備最常見(jiàn)的攻擊類型����,同時(shí)我們還發(fā)現(xiàn)了更嚴(yán)重的威脅,這類新型的攻擊試圖進(jìn)一步破壞受害者基礎(chǔ)設(shè)施�。
最近,思科產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)(PSIRT)就圍繞針對(duì)Cisco IOS軟件平臺(tái)的更高級(jí)攻擊�,向客戶發(fā)出了警示。
9月15日��,Mandiant/FireEye公司發(fā)布了一篇文章���,描述了此類攻擊����。這涉及到被他們稱為SYNful Knock的路由器“植入”�����,據(jù)報(bào)道此類攻擊已在四個(gè)不同國(guó)家/地區(qū)的14臺(tái)路由器上被發(fā)現(xiàn)�����。
思科 PSIRT與Mandiant合作,確認(rèn)此攻擊沒(méi)有利用任何產(chǎn)品漏洞�。同時(shí)證據(jù)顯示,它需要有效的管理憑證或通過(guò)物理途徑進(jìn)入受害者的設(shè)備�����。
SYNful Knock是一類持續(xù)性的惡意軟件�,它可以使攻擊者控制受影響的設(shè)備,利用修改過(guò)的Cisco IOS軟件映像破壞其完整性��。Mandiant指出它會(huì)通過(guò)HTTP協(xié)議來(lái)控制并啟用不同模塊���,并可通過(guò)發(fā)送給設(shè)備的特制TCP數(shù)據(jù)包來(lái)觸發(fā)攻擊。
*注:Cisco Talos公布了IPS安全檢測(cè)規(guī)則: Snort Rule SID:36054�,以幫助檢測(cè)利用SYNful Knock惡意軟件的攻擊。
鑒于網(wǎng)絡(luò)設(shè)備在客戶基礎(chǔ)設(shè)施中的重要作用�����,它們已成為黑客的一個(gè)重要目標(biāo)�,必須得到嚴(yán)密保護(hù)。我們建議所有網(wǎng)絡(luò)廠商的客戶都掌握防御和檢測(cè)其運(yùn)營(yíng)程序中漏洞的方法�。
如何解決故障:
- 在思科官方網(wǎng)站下載您的設(shè)備的IOS 軟件系統(tǒng)�, 并將下載后的映像文件進(jìn)行MD5和SHA1 完整性檢驗(yàn)����。
- 將網(wǎng)絡(luò)設(shè)備隔離互聯(lián)網(wǎng)等可被攻擊的環(huán)境。
- 清除設(shè)備上原有的IOS 軟件并使用新下載的IOS重新啟動(dòng)路由器
- 再次驗(yàn)證系統(tǒng)映像的MD5 和SHA���, 確認(rèn)系統(tǒng)未被修改���。
- 根據(jù)思科后續(xù)的建議步驟加固設(shè)備和建立安全基線并修改密碼。
- 設(shè)備加固達(dá)到安全基線后重新上線�。
思科全球建議的網(wǎng)絡(luò)設(shè)備安全加固流程
下圖概述了保護(hù)和監(jiān)測(cè)思科網(wǎng)絡(luò)設(shè)備的流程。
感謝Mandiant/FireEye公司對(duì)保護(hù)我們的共同客戶所付出的努力��,并希望借此呼吁大家對(duì)網(wǎng)絡(luò)安全問(wèn)題予以更多關(guān)注����。
