70余款设备易受 VPNFilter 攻击，华为、中兴的路由器在列

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全6月8日讯 思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警称，黑客利用一个复杂的规模化恶意软件 VPNFilter，感染了全球54个国家的50多万台路由器，并构建了庞大的僵尸网络。思科经进一步分析后于6月6日发布最新报告指出，VPNFilter 的感染情况远比预想的糟糕。易受 VPNFilter 攻击的设备从16款增加到70余款，甚至可能更多。

美国部分现任官员和安全专家认为，VPNFilter 与俄罗斯黑客组织 APT28 有关。

70余款设备易受 VPNFilter 攻击

思科 Talos 安全团队在报告中表示，VPNFilter 感染的设备远不止此前披露的 Linksys、MikroTik 、Netgear、TP-Link、QNAP 等品牌的16款路由器和网络附加存储（NAS）设备。这款恶意软件还可感染更多品牌的路由器，包括华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴，易受影响的设备列表可参见文末。

VPNFilter第三阶段新插件解锁新功能

据研究人员此前的披露，VPNFilter 属于高度模块化的恶意软件框架，实施攻击主要分为三个阶段。

第一阶段恶意软件会通过重启植入，以获取持久立足点，并使第二阶段的恶意软件得以部署，其主要作用是支持第三阶段的插件架构。第三阶段的插件功能包括嗅探网络数据包并拦截流量，监控是否存在 Modubus SCADA 协议，另外通过 Tor 匿名网络与民领域控制（C&C）服务器通信。

此前发现的第三阶段的两个插件如下：

• Ps：嗅探网络数据包并检测某些类型的网络流量。思科之前认为，该插件的作用是嗅探 Modbus TCP/IP 数据包。研究人员在最新的报告中称，这款插件还可能用来寻找通过 TP-Link R600 虚拟专用网连接的工业设备。

• Tor：通过Tor网络与 C&C 服务器通信。

第三阶段新插件如下：

• ssler：通过中间人攻击拦截并修改端口80上的网络流量。该插件也支持将 HTTPS 降级为 HTTP。

• Dstr ：用于覆写设备固件的文件。思科认为，这个插件可擦除设备固件。

如何移除VPNFilter？

思科上个月曾表示，VPNFilter 并未使用 0Day 漏洞感染设备，因此老旧固件版本的设备存在感染风险。虽然重启设备将移除VPNFilter 第二阶段和第三阶段的组件，但第一阶段仍会在重启后继续存活。研究人员建议，用户升级到最新的固件版本。

如果用户无法更新路由器固件，用户可通过以下步骤永久移除 VPNFilter：

• Ÿ恢复到出厂设置；

• Ÿ修改默认管理员密码；

• Ÿ禁用远程管理功能。

虽然上述步骤可防范 VPNFilter 感染，保护当前已知的威胁，但却无法一劳永逸地保护设备。一旦当前固件出现新的漏洞利用方式，路由器仍易遭受感染。

已知受影响的设备列表

华硕设备：

• RT-AC66U（新）

• RT-N10（新）

• RT-N10E（新）

• RT-N10U（新）

• RT-N56U（新）

• RT-N66U（新）

D-Link设备：

• DES-1210-08P（新）

• DIR-300（新）

• DIR-300A（新）

• DSR-250N（新）

• DSR-500N（新）

• DSR-1000（新）

• DSR-1000N（新）

华为设备：

• HG8245（新）

Linksys设备：

• E1200

• E2500

• E3000（新）

• E3200（新）

• E4200（新）

• RV082（新）

• WRVS4400N
  

Mikrotik设备：（RouterOS版本6.38.5已修复问题）

• CCR1009（新）

• CCR1016

• CCR1036

• CCR1072

• CRS109（新）

• CRS112（新）

• CRS125（新）

• RB411（新）

• RB450（新）

• RB750（新）

• RB911（新）

• RB921（新）

• RB941（新）

• RB951（新）

• RB952（新）

• RB960（新）

• RB962（新）

• RB1100（新）

• RB1200（新）

• RB2011（新）

• RB3011（新）

• RB Groove（新）

• RB Omnitik（新）

• STX5（新）

Netgear设备：

• DG834（新）

• DGN1000（新）

• DGN2200
  

• DGN3500（新）

• FVS318N（新）

• MBRN3000（新）

• R6400
  

• R7000
  

• R8000
  

• WNR1000
  

• WNR2000
  

• WNR2200（新）

• WNR4000（新）

• WNDR3700（新）

• WNDR4000（新）

• WNDR4300（新）

• WNDR4300-TN（新）

• UTM50（新）

QNAP设备：

• TS251
  

• TS439 Pro
  

• 运行QTS软件的其他QNAP NAS设备

TP-Link设备：

• R600VPN
  

• TL-WR741ND（新）

• TL-WR841N（新）

Ubiquiti设备：

• NSM2（新）

• PBE M5（新）
  

UPVEL设备：

• 未知型号（新）

中兴通讯设备：

• ZXHN H108N（新）

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/2123339095.shtml

推荐阅读：

• 54个国家大量路由器被僵尸网络VPNFilter控制
  

• Moxa工业路由器曝17项漏洞：多项高危
  

• Westermo多个工业级路由器存在高危漏洞
  

• 6大绝招终结路由器被隔壁蹭网！
  

• 2017僵尸网络“盛行”国家：中国第三
  

• 400万手机被僵尸网络DressCode感染，谷歌下架数百个APP
  

• 基于Python的挖矿僵尸出没，小心你的Linux
  

▼点击“阅读原文” 查看更多精彩内容