資安業者FireEye指出,已發現SYNful Knock鎖定3款思科(Cisco)路由器在其韌體植入後門程式,受害的路由器將任由駭客無限制地存取與下載其他惡意模組。

其實思科早在今年8月就已發布安全通告,警告已有駭客針對該思科的網路設備平台IOS(Internetwork Operating System)發動攻擊,以惡意程式替換IOS的啟動程式,進一步控制這些網路設備。 FireEye表示,他們已經發現了14個案例,跨及烏克蘭、菲律賓、墨西哥與印度等4個國家。

根據FireEye的說明,SYNful Knock存在於修改過的思科IOS的韌體影像檔中,能夠客製化或模組化,一旦植入裝置之後還能進行更新。不過,它並非透過漏洞入侵,而是採用預設的憑證或是取得正確憑證後才安裝的,因而限制了受害範圍。

SYNful Knock允許駭客從網路上載入各種不同功能的模組,還能利用秘密的後門密碼進行無限存取,目前已確定受影響的思科路由器包括Cisco 1841、Cisco 2811與Cisco 3825,但也可能有其他型號的產品受到波及。

SYNful Knock屬於長駐的惡意程式,重新啟動也無損於它的存在,但之後下載的模組則只會儲存於揮發記憶體中,重新開機就會消失。

駭客竄改IOS的部份包括修改TLB中的讀/寫屬性、利用合法的IOS功能來呼叫惡意程式、以惡意程式覆蓋合法的協定處理功能,以及以惡意程式取代合法功能的字串等。FireEye解釋,上述的修改允許駭客載入額外的模組,並在載入IOS時執行惡意程式,以自己的執行檔置換合法功能來避免影響IOS檔的大小。

思科已不再銷售上述3款路由器,但仍提供支援服務,用戶可藉由重刷韌體來擺脫SYNful Knock。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容