過去,黑客將網絡設備作為攻擊目標,通過制造拒絕服務(DoS)攻擊造成網絡中斷,這類攻擊在如今仍是網絡設備最常見的攻擊類型,同時我們還發現了更嚴重的威脅,這類新型的攻擊試圖進一步破壞受害者基礎設施。
最近,思科產品安全突發事件響應團隊(PSIRT)就圍繞針對Cisco IOS軟件平臺的更高級攻擊,向客戶發出了警示。
9月15日,Mandiant/FireEye公司發布了一篇文章,描述了此類攻擊。這涉及到被他們稱為SYNful Knock的路由器“植入”,據報道此類攻擊已在四個不同國家/地區的14臺路由器上被發現。
思科 PSIRT與Mandiant合作,確認此攻擊沒有利用任何產品漏洞。同時證據顯示,它需要有效的管理憑證或通過物理途徑進入受害者的設備。
SYNful Knock是一類持續性的惡意軟件,它可以使攻擊者控制受影響的設備,利用修改過的Cisco IOS軟件映像破壞其完整性。Mandiant指出它會通過HTTP協議來控制并啟用不同模塊,并可通過發送給設備的特制TCP數據包來觸發攻擊。
*注:Cisco Talos公布了IPS安全檢測規則:Snort Rule SID:36054,以幫助檢測利用SYNful Knock惡意軟件的攻擊。
鑒于網絡設備在客戶基礎設施中的重要作用,它們已成為黑客的一個重要目標,必須得到嚴密保護。我們建議所有網絡廠商的客戶都掌握防御和檢測其運營程序中漏洞的方法。
如何解決故障:
在思科官方網站下載您的設備的IOS 軟件系統, 并將下載后的映像文件進行MD5和SHA1 完整性檢驗。
將網絡設備隔離互聯網等可被攻擊的環境。
清除設備上原有的IOS 軟件并使用新下載的IOS重新啟動路由器
再次驗證系統映像的MD5 和SHA, 確認系統未被修改。
根據思科后續的建議步驟加固設備和建立安全基線并修改密碼。
設備加固達到安全基線后重新上線。
思科全球建議的網絡設備安全加固流程
下圖概述了保護和監測思科網絡設備的流程。
第一步:加固設備 – 使用思科指南來加固Cisco IOS設備
第二步:網絡工具 – 遵循“基于日志和探針的基礎設施設備完整性監控”中的建議
第三步:制定安全基線 – 確保運營程序包括制定安全基線的方法
第四步:利用面向Cisco IOS軟件完整性保障的技術能力和建議,對達不到安全基準的設備進行分析。
感謝Mandiant/FireEye公司對保護我們的共同客戶所付出的努力,并希望借此呼吁大家對網絡安全問題予以更多關注。
京公網安備 11010502049343號