[情報] VPNFilter災情超乎預期,華碩、D-Link、

作者: EijiHoba (我要好工作)   2018-06-07 14:50:34
VPNFilter災情超乎預期,華碩、D-Link、華為與中興裝置都遭殃
Talos指出VPNFilter感染的連網裝置超出預期,涵蓋了華碩、D-Link、華為、Ubiquiti、UPVEL與中興等等,搭配的惡意模組功能也不容小看,可將HTTPS加密傳輸降為HTTP,可抹減蹤跡與裝置運作的必要檔案。
文/陳曉莉 | 2018-06-07發表
思科(Cisco)旗下的威脅情報組織Talos上個月揭露了相信是由俄羅斯駭客集團Fancy Bear主導的VPNFilter攻擊行動,該行動感染了全球54個國家的50萬台網路裝置,經過進一步分析後,Talos本周指出,VPNFilter的能力超乎當初的想像,不論是感染範圍或是惡意模組的能力都更形嚴重。
根據Talos上個月的初步分析,VPNFilter鎖定感染Linksys、MikroTik、NETGEAR與TP-Link等品牌的路由器,以及QNAP網路儲存裝置,也對基於Modbus SCADA協定的工業控制系統特別有興趣,它能監控裝置流量、竊取網站憑證,亦可切斷裝置的連網能力或讓裝置無法使用,還能長久進駐受駭裝置,無法藉由簡單的重開機移除它,而是得回復裝置出廠配置。
然而,本周Talos發現太小看VPNFilter的能力了,它的感染範圍不僅限於上述,還包括ASUS、D-Link、華為、Ubiquiti、UPVEL與中興等裝置;所搭配的惡意模組ssller亦能把HTTPS加密傳輸降級為HTTP傳輸,dstr模組則能移除VPNFilter的蹤跡與裝置運作的必要檔案。
分析顯示,ssller模組能夠攔截該裝置上所有藉由port 80遞送的流量,可竊取資料並注入JavaScript,以用來攻陷同一網路所連結的其它裝置,亦試圖將HTTPS傳輸降級至HTTP。
至於dstr模組則會移除裝置正常運作所需的檔案,以造成被駭裝置失效,在移除裝置上的檔案之前,它會先抹滅VPNFilter行動的蹤跡。
Talos警告,這些能力意味著假使駭客成功地入侵這些終端裝置,即可於該環境中部署任何的惡意功能,像是rootkit、竊取資料或毀滅裝置。
https://www.ithome.com.tw/news/123708
作者: aahome (少說話)   2018-06-07 20:19:00
結果駭客是廠商自己人
作者: oversky0 (oversky0)   2018-06-08 08:21:00
是原廠 firmware 就被感染,還是本來沒問題會被入侵?
作者: seiya2000 (風見)   2018-06-08 09:24:00
新聞講的不清不楚的,有沒有辦法解決也沒說
作者: netpchome (寄居蟹)   2018-06-09 01:29:00
就算有問題,廠家一定是否認的。
作者: zonppp (冷涼卡好)   2018-06-11 17:39:00
https://forum.mikrotik.com/viewtopic.php?t=134754mikrotik 的回應是說 2017 就修掉了這個bug應該是原廠韌體就有這個問題

Links booklink

Contact Us: admin [ a t ] ucptt.com