還記得這篇大約 2014 年所發表的j文章嗎?
這篇文章指出了中國 Netis 品牌路由器在韌體當中暗藏了一個遭到嚴重利用的後門漏洞。以下是有關該漏洞情況的最新發展,以及一個您最近或許經常看到經常被觸發的 TippingPoint Digital Vaccine (DV) 數位疫苗過濾規則。
這個第 32391 號 DV 過濾規則是用來檢查是否有人試圖掃瞄這個後門漏洞,而這條規則直到最近都還經常被觸發,這顯示仍有大量試圖利用這個後門的網路攻擊。基本上,這條規則誤判的可能性為零。根據我們所的 ThreatLinQ 通報儀表板顯示,這條規則從 2016 年 8 月釋出以來已觸發了將近 290 萬次。不過,這數字只涵蓋了大約 5% 的客戶端觸發數量,因此可推算出我們全體客戶的觸發數量大約在 5,700 萬次之譜。
我們分析了一些從 TippingPoint 裝置擷取到的封包,到目前為止每一個樣本都沒有誤判,正如我們所料。以下是我們架設的 Lighthouse (燈塔) 誘捕環境所觀察到 IP 位址惡意掃瞄最頻繁的網域:
下圖是其中一個掃瞄封包在 Wireshark 工具中展開的樣子:
值得注意的是,我們上週在單一入侵防護系統 (IPS) 上看到將近 50,000 筆事件,其中絕大多數都來自英國 (40,000 次),其次是中國和北韓 (占剩餘數量的多數)。這項資料可從 SMS 儀表板上直接查到。
我們在網路上搜尋了一下發現,有多個公開的漏洞攻擊與掃瞄工具會利用這個後門漏洞。其中一個範例如下:
這說明了一件事:有某個全球性的 IPv4 網址掃瞄行動正在進行當中,專門尋找網路上含有這個後門漏洞的路由器。從這項行動的延續時間和封包數量來看 (更別說這是個容易攻擊的漏洞),網路上非常可能有大量這類路由器正遭到入侵並用於惡意行動當中,例如:中間人攻擊。儘管 Netis 公司早已釋出修正程式,但其作法仍有漏洞,而且後門程式碼本身也並未移除。
不論該裝置實際上是否已經過修補,TippingPoint 的使用者只要開啟 32391 號 DV 過濾規則就能受到防護 (在封鎖/通知設定當中,且預設已開啟)。未來我們將持續觀察這項掃瞄行動的頻率變化和發訊位置。
原文出處:Netis Router Backdoor Update作者:Steve Povolny