思科路由器惡意后門驚現，全球 19 個國家受威脅

國外媒體報道稱，最近關于攻擊思科系統路由器的事件相較過去又多了很多。據說目前19個國家至少79臺設備受到安全威脅影響，其中還包括了美國的一家ISP網絡服務提供商，旗下25臺設備都存在惡意后門。

這 次的調查結果來自一個計算機科學家團隊，他們挖掘了整個IPv4地址空間中受影響的設備。根據Ars本周二的報道，在收到一系列非正常不兼容的網絡數據 包，以及硬編碼密碼之后，所謂的SYNful Knock路由器植入就會激活。通過僅發送序列錯亂的TCP包，而非密碼至每個地址，監控回應，研究人員就能檢測到設備是否受到了該后門的影響。

安 全公司FireEye本周二首度報道了SYNful Knock的爆發，這種植入程序在尺寸上和正常的思科路由器映像完全相同，在路由器重啟之后每次都會加載。攻擊者能夠利用它鎖定特定目標。FireEye 已經在印度、墨西哥、菲律賓、烏克蘭的14臺服務器上發現了這種植入程序。這對整個安全界來說都是重大事件，這也就意味著這種攻擊處在激活狀態。最新的研 究顯示，其擴張范圍已經相當廣泛，美國、加拿大、英國、德國和中國均已存在。

研究人員表示：“這種植入攻擊可以追蹤，我們通過修改ZMap 令其發出特定的TCP SYN包，在無需利用該漏洞的情況下能夠檢測受影響的服務器。我們在2015年9月15日完成了四次公眾IPv4地址空間的掃描，發現79臺設備存在 SYNful Knock植入。這些路由器來自19個不同的國家。我們注意到非洲和亞洲的不少路由器，美國來自一家東海岸的運營商的25臺設備，以及德國和黎巴嫩屬于一 家衛星服務提供商（提供覆蓋非洲的服務）的部分設備受到影響。”

上面這張圖給出了大致上存在本次安全威脅的分部情況，FireEye的研究人員已經發出了一篇詳細的博文，闡述如何檢測和移除SYNful Knock安全威脅。

目前已經很清楚，SYNful Knock是經過專業開發、完全利用了后門的設備，能夠影響諸多核心設備。安全研究人員正在尋找背后攻擊及其運作方式的線索。

FireEye 本周二報道稱，沒有證據表明SYNful Knock正在利用任何思科設備的漏洞，FireEye高層認為，背后的攻擊者可能受到了國家支持，這些攻擊者想要利用已知密碼（有些是出廠默認的，有些 是通過一些手段獲取的）的路由器。研究人員表示，如果其他設備制造商造的網絡設備也受到了類似后門的感染，那也算不上奇怪。不過目前還沒有發現其他品牌的 設備受到影響，但研究人員還在進行進一步的互聯網檢測。