思科路由器恶意后门惊现

思科路由器恶意后门惊现

国外媒体报道称，最近关于攻击思科系统路由器的事件相较过去又多了很多。据说目前 19 个国家至少 79 台设备受到安全威胁影响，其中还包括了美国的一家 ISP 网络服务提供商，旗下 25 台设备都存在恶意后门。

这次的调查结果来自一个计算机科学家团队，他们挖掘了整个 IPv4 地址空间中受影响的设备。根据 Ars 本周二的报道，在收到一系列非正常不兼容的网络数据包，以及硬编码密码之后，所谓的 SYNful Knock 路由器植入就会激活。通过仅发送序列错乱的 TCP 包，而非密码至每个地址，监控回应，研究人员就能检测到设备是否受到了该后门的影响。

安全公司 FireEye 本周二首度报道了 SYNful Knock 的爆发，这种植入程序在尺寸上和正常的思科路由器映像完全相同，在路由器重启之后每次都会加载。攻击者能够利用它锁定特定目标。FireEye 已经在印度、墨西哥、菲律宾、乌克兰的 14 台服务器上发现了这种植入程序。这对整个安全界来说都是重大事件，这也就意味着这种攻击处在激活状态。最新的研究显示，其扩张范围已经相当广泛，美国、加拿大、英国、德国和中国均已存在。