close
企業趨勢資訊保安

Cisco 網絡設備韌體劫持風險升溫 多國已發現攻擊案例

八月中時 Unwire.Pro 曾報導過思科(Cisco) 網絡設備商警告,有部分的路由器和網絡交換器可能被劫持。並就此在其官方網站的安全警報頁面中公佈了該威脅的資訊,指該攻擊針對 Cisco IOS Classic platforms,透過植入了惡意程式控制裝置。網絡資訊保安公司 FireEye 近日就此安全威脅發布了最新的消息。

55f7f87a51608

 

劫持風險蔓延多國 安全公司指無法防禦

FireEye 將惡意程式命名為 SYNful Knock,並指目前已經在烏克蘭、菲律賓、墨西哥和印度四個國家發現了 14 次攻擊事件,目前確認受影響的設備分別是 Cisco 1841、Cisco 2811 和 Cisco 3825 三款 Cisco 的路由器,不排除有其他型號的裝置亦受影響。

FireEye 在安全報告中分析指,當 SYNful Knock 植入設備的韌體後,可以不斷更新,黑客還可以透過網絡為其載入不同功能的模組,甚至利用後門程式無限存取裝置。

FireEye 解釋其中的攻擊方式,黑客首先會修改轉譯後備緩衝區(TLB)的讀寫屬性,然後利用合法 IOS 功能啟用並初始化惡意軟件,並用惡意程式的代碼覆寫合法協議,最後將惡意程式取代合法功能,達致修改和控制的目的。

FireEye 又指 SYNful Knock 屬於長駐的惡意程式,重新啟動也無損於它的存在,目前的網絡保安軟件仍無法防禦該種攻擊方式,不過透過重新啟動可以令黑客載入的功能模組消失。目前 Cisco 已經不再銷售上述 3 款受影響的路由器,但仍然提供支援服務,懷疑受影響的用戶可以透過重新安裝設備韌體清除惡意程式。

Source: FireEye

 

Tags : CiscoFireEyeRouterSYNful Knock
Ken Li

The author Ken Li

世事洞明皆學問,人情練達即文章。

Leave a Response