網(wǎng)絡(luò)安全專家Incapsula發(fā)布的一份最新報(bào)告顯示,他們已經(jīng)發(fā)現(xiàn)了一個(gè)DDoS僵尸網(wǎng)絡(luò)劫持了成千上萬(wàn)的路由器,并且在去年12月下旬發(fā)動(dòng)了第一波應(yīng)用層的HTTP 洪水攻擊。攻擊流量來(lái)自全球范圍屬于1600個(gè)互聯(lián)網(wǎng)服務(wù)商的40269個(gè)IP地址,IP地址被追溯到肇事者用來(lái)遠(yuǎn)程指揮惡意流量的60個(gè)指揮和控制系統(tǒng)。
研究發(fā)現(xiàn),攻擊大量使用了SOHO路由器,主要是基于ARM的Ubiquiti設(shè)備,安全研究者最初假定黑客是通過(guò)一個(gè)共享的固件漏洞獲取這些路由器的控制權(quán),但是,進(jìn)一步的檢查發(fā)現(xiàn),這些控制都是通過(guò)HTTP和SSH默認(rèn)端口遠(yuǎn)程訪問(wèn)。最重要的是,幾乎所有的路由器都有廠商提供的默認(rèn)遠(yuǎn)程登錄憑據(jù),這允許Mr.Black惡意軟件的變種被注入路由器。
統(tǒng)計(jì)數(shù)據(jù)顯示,超過(guò)85%被感染的路由器都位于泰國(guó)和巴西,而大多數(shù)的命令和控制服務(wù)器都在美國(guó)(21%)和中國(guó)(73%)。在發(fā)布這份報(bào)告之前,Incapsula聯(lián)系路由器供應(yīng)商和互聯(lián)網(wǎng)服務(wù)供應(yīng)商,它敦促路由器用戶禁用路由器管理界面遠(yuǎn)程(廣域網(wǎng))登陸,更改默認(rèn)的管理員登錄名,升級(jí)設(shè)備的固件到最新版本。
京公網(wǎng)安備 11010502049343號(hào)