還記得這篇大約 2014 年所發表的j文章嗎？

這篇文章指出了中國 Netis 品牌路由器在韌體當中暗藏了一個遭到嚴重利用的後門漏洞。以下是有關該漏洞情況的最新發展，以及一個您最近或許經常看到經常被觸發的 TippingPoint Digital Vaccine (DV) 數位疫苗過濾規則。

這個第 32391 號 DV 過濾規則是用來檢查是否有人試圖掃瞄這個後門漏洞，而這條規則直到最近都還經常被觸發，這顯示仍有大量試圖利用這個後門的網路攻擊。基本上，這條規則誤判的可能性為零。根據我們所的 ThreatLinQ 通報儀表板顯示，這條規則從 2016 年 8 月釋出以來已觸發了將近 290 萬次。不過，這數字只涵蓋了大約 5% 的客戶端觸發數量，因此可推算出我們全體客戶的觸發數量大約在 5,700 萬次之譜。

我們分析了一些從 TippingPoint 裝置擷取到的封包，到目前為止每一個樣本都沒有誤判，正如我們所料。以下是我們架設的 Lighthouse (燈塔) 誘捕環境所觀察到 IP 位址惡意掃瞄最頻繁的網域：

下圖是其中一個掃瞄封包在 Wireshark 工具中展開的樣子：

值得注意的是，我們上週在單一入侵防護系統 (IPS) 上看到將近 50,000 筆事件，其中絕大多數都來自英國 (40,000 次)，其次是中國和北韓 (占剩餘數量的多數)。這項資料可從 SMS 儀表板上直接查到。

我們在網路上搜尋了一下發現，有多個公開的漏洞攻擊與掃瞄工具會利用這個後門漏洞。其中一個範例如下：

這說明了一件事：有某個全球性的  IPv4 網址掃瞄行動正在進行當中，專門尋找網路上含有這個後門漏洞的路由器。從這項行動的延續時間和封包數量來看 (更別說這是個容易攻擊的漏洞)，網路上非常可能有大量這類路由器正遭到入侵並用於惡意行動當中，例如：中間人攻擊。儘管 Netis 公司早已釋出修正程式，但其作法仍有漏洞，而且後門程式碼本身也並未移除。

不論該裝置實際上是否已經過修補，TippingPoint 的使用者只要開啟 32391 號 DV 過濾規則就能受到防護 (在封鎖/通知設定當中，且預設已開啟)。未來我們將持續觀察這項掃瞄行動的頻率變化和發訊位置。

原文出處：Netis Router Backdoor Update作者：Steve Povolny