美国麦迪安网路安全公司的研究人员发现，至少14个业务路由器固件已经被另一种后门的版本取代。

  更换路由器固件和已中毒的版本已不再只是一个理论上的风险。美国麦迪安网路安全公司的研究人员发现：来自真实世界的攻击，已存在于四个国家安装的流氓业务路由器固件中。

  路由器植入，被称为SYNful Knock。攻击者从提供的具有高度特权的后门进入受影响的设备，这种情况甚至在重新启动后也仍然会存在。它不同于在消费者的路由器上常见的那些恶意软件， 毕竟当设备重启时，那些恶意软件会被从内存中抹去。

  SYNful Knock是在已被修改的iOS操作系统上运行的专业路由器和交换机。到目前为止，它被美国麦迪安网路安全公司的研究人员在Cisco 1841，8211和3825“集成多业务路由器”中发现，这是一种典型的分支机构或是通过管理网络服务提供商所办理的业务。

美国麦迪安网路安全公司专门从事事件响应服务的子公司网络安全公司FireEye，已经在墨西哥，乌克兰，印度和菲律宾看到了14路由器流氓固件。

 CISCO的模型已被确认受到了影响且不再再被出售。但我们不能保证未来的或还没有开始研发的新的模型不会针对这些。

Cisco在八月发布了一个安全公告，警告用户在安装由公司生产的路由器的流氓固件是会遭受新的攻击的。

   美国麦迪安网路安全公司对 SYNful Knock进行植入研究，研究表明它不会通过漏洞的部署，但它最有可能通过那些默认的或被盗的管理凭据。它对固件图像进行了完备的修改，以保持其大小与原来的大小相同。

  该流氓固件不但实现了一个后门密码Telnet的特权并控制着访问台，而且它还能监听包含在特制的TCP SYN数据包里的命令 – 所以被命名为SYNful Knock。

  自定义的“敲门”程序可以用来指使恶意固件注入额外的恶意模块到路由器的内存中。虽然不像后门密码，但这些模块是不能持久地跨设备重新启动的。

  路由器妥协是很危险的。因为它们给了攻击者探查和修改网络流量的能力，直接使用户欺骗网站并启动对设备的其他攻击，并使服务器和计算机隔离网络。

  路由器通常是不会获得相同级别的员工工作站或应用程序服务器的安全关注的，虽然企业实际上希望被同一水平的人攻击。它们不受防火墙的保护，而且也没有在其上运行的反恶意软件产品。

   美国麦迪安网路安全公司安全研究人员周二在一篇博客文章表示：“在网络中找到后门程序是具有挑战性的，找到一个路由器植入更是如此。”“这个后门提供了充足的能力，让攻击者以此作为一个非常隐蔽的滩头阵地，传播和损坏主机的关键数据。”

   美国麦迪安网路安全公司在提出的白皮书公布：它可以用来检测SYNful Knock植入的指标，其中包括本地的路由器和网络的一级指标。

   研究人员警告说:“现在的情况应该很明显，这种攻击方法是非常现实的，并且很有可能会在普及和流行后增长。”

文章原文链接:https://www.anquanke.com/post/id/82414