美国互联网安全公司FireEye旗下安全部门Mandiant今日透露,他们发现一种新的针对路由器的攻击手段,允许黑客盗取海量数据,又不会被当前的网络安全防御系统检测到。思科作为全球最大的路由器厂商,首当其冲成为最大的攻击对象。据悉,这种攻击方法能替换思科路由器的操作系统,截至目前,Mandiant已在印度、墨西哥、菲律宾和乌克兰四国发现了14起攻击事件。
思科方面也在第一时间证实其操作系统遭到攻击,并向用户发出警告。同时他们与Mandiant合作,开放解决方案帮助用户检测设备是否收到攻击。
FireEye CEO戴夫·德沃特(Dave DeWalt)称该恶意程序为“SYNful”,从被入侵路由器的计算机日志判断,至少已经存在了一年时间。据悉,SYNful并不是利用路由器的任何软件漏洞,而是盗取有效的网络管理员凭证,对企业发动攻击或获取路由器的访问权。而一旦控制了路由器,就拥有了使用该路由器的企业或政府机构的数据。
德沃特称,目前已发现多个行业和政府及机构的思科路由器被入侵,其他厂商的路由器同样受到攻击。而FireEye则表示,目前的网络安全工具还无法抵御该攻击方式。
思科近段时间以来被安全问题所困扰,其安全设备频频爆出安全问题,而且都是可轻易被攻击者控制。这与思科安全设备存在漏洞有关,思科在很多安全设备和软件中插入默认密钥,即有默认配置的、经过授权的SSH密钥。攻击者一旦获取该SSH密钥,只要与任何一个思科安全设备进行连接,便可利用该漏洞,从而获取root用户访问系统的权限,并对设备进行任意的操作。
看来这次的系统攻击事件与该漏洞可能同样存在关联,而这种影响是不可想象的,因为这意味着思科所有的安全设备都可能受到攻击。思科尽快修补该漏洞才是重中之重。