全球30萬(wàn)臺(tái)路由被黑的背后

dongtao · 發(fā)表于 2014-3-10 09:50

最近路由器的安全問(wèn)題又成為了熱點(diǎn)，主要源于安全公司Team Cymru的統(tǒng)計(jì)報(bào)告顯示，全球有多達(dá)30萬(wàn)臺(tái)路由器遭受黑客攻擊，涉及多個(gè)知名品牌。
路由器被黑最大風(fēng)險(xiǎn)就是破財(cái)
據(jù)介紹，這次被黑的路由器產(chǎn)品涉及到了D-Link、Micronet、騰達(dá)、TP-Link等知名品牌的多個(gè)型號(hào)產(chǎn)品，同時(shí)在相關(guān)的報(bào)告中還指出了受攻擊的路由器主要處于東南亞的發(fā)展中國(guó)家。這次攻擊的共同特征是將路由器DNS解析劫持到了5.45.75.11和 5.45.76.36等IP地址，也就是說(shuō)用戶無(wú)論訪問(wèn)哪里，都會(huì)首先訪問(wèn)上面兩個(gè)地址所在的服務(wù)器，再由他們對(duì)數(shù)據(jù)進(jìn)行中轉(zhuǎn)。
通過(guò)DNS劫持，黑客可以將用戶隨時(shí)重定向到任何地方，比如正在訪問(wèn)某銀行的用戶，很有可能被虛假的DNS服務(wù)器將連接重定向到釣魚(yú)網(wǎng)站，造成財(cái)產(chǎn)損失。虛假DNS服務(wù)器也可以用來(lái)做其他用途，比如將網(wǎng)絡(luò)請(qǐng)求重定向到指定的服務(wù)器，形成大規(guī)模DDoS攻擊；哪怕是引導(dǎo)這些用戶點(diǎn)擊廣告，也足夠讓黑客賺翻了。另外，由于通過(guò)第三方服務(wù)器中轉(zhuǎn)，因此也為數(shù)據(jù)包抓取、分析等常規(guī)的竊密行為也提供了機(jī)會(huì)。
我們的網(wǎng)絡(luò)從誕生起就存在一些不完善的地方，比如ARP攻擊所采用的漏洞就是貫穿著網(wǎng)絡(luò)發(fā)展始終的，然而對(duì)應(yīng)的攻擊是到了一個(gè)特定時(shí)間之后才越來(lái)越頻繁，因?yàn)榇饲熬W(wǎng)絡(luò)上的數(shù)據(jù)并沒(méi)有包含太多價(jià)值，攻擊很難獲得什么實(shí)際利益。隨著互聯(lián)網(wǎng)深入生活，我們?cè)絹?lái)越多的行為“上網(wǎng)”，因此傳輸在網(wǎng)絡(luò)上的數(shù)據(jù)價(jià)值在不斷提升，同時(shí)黑客的攻擊行為也越來(lái)越受到利益驅(qū)使，如何通過(guò)互聯(lián)網(wǎng)非法謀利，自然會(huì)格外招惹黑客的注意。
路由被黑從“點(diǎn)擊不明網(wǎng)頁(yè)”開(kāi)始
與傳統(tǒng)的黑客行為有所不同，這次黑客的攻擊目標(biāo)并非計(jì)算機(jī)，而是路由器（包括無(wú)線路由器）。在長(zhǎng)期的黑客攻防戰(zhàn)中，我們的計(jì)算機(jī)已經(jīng)幾乎是一臺(tái)武裝到牙齒的設(shè)備，想要發(fā)動(dòng)有效攻擊是極其困難的。相反，作為網(wǎng)絡(luò)出口的路由器設(shè)備不但要處理大量數(shù)據(jù)，而且?guī)缀鯖](méi)什么有效的安全防護(hù)手段，不難看出這樣的設(shè)備將會(huì)成為未來(lái)黑客研究的重點(diǎn)。根據(jù)圖示，在具體的攻擊行為方面，首先黑客要引誘用戶通過(guò)瀏覽器訪問(wèn)特定的頁(yè)面，下載惡意代碼到本地，惡意代碼會(huì)獲取root權(quán)限并且自動(dòng)修改DNS地址，這樣攻擊就在神不知鬼不覺(jué)的情況下完成了。
這次黑客攻擊中出現(xiàn)了兩個(gè)特點(diǎn)，首先是黑客攻擊行為并沒(méi)有依賴于密碼破解。在傳統(tǒng)的各種攻擊行為中，密碼是一個(gè)重要屏障，大部分成功入侵的案例都因?yàn)橛脩魶](méi)有設(shè)置密碼、采用默認(rèn)密碼或者設(shè)置弱密碼。而這次攻擊中，黑客的攻擊行為直接繞過(guò)了密碼取得root權(quán)限并修改DNS服務(wù)器，這種現(xiàn)象是很少見(jiàn)的。
其次，報(bào)告中被點(diǎn)名了的有大量的知名品牌，比如D-Link、Micronet、騰達(dá)、TP-Link等等，這些產(chǎn)品在國(guó)內(nèi)市場(chǎng)非常常見(jiàn)，市場(chǎng)占有率非常高。雖然報(bào)告中沒(méi)有指出在中國(guó)國(guó)內(nèi)有類(lèi)似的路由器被黑的現(xiàn)象，但用戶難免推己及人，從路由器被黑事件引發(fā)關(guān)于“我的路由器安全嗎”這樣的思考。
從整個(gè)攻擊行為來(lái)看，黑客雖然繞過(guò)了密碼，但并不代表攻擊行為100%成功，甚至可以說(shuō)這種攻擊路由器的行為失敗率是非常非常高的。黑客能夠?qū)崿F(xiàn)攻擊的第一個(gè)前提就是能夠引誘用戶點(diǎn)擊連接訪問(wèn)指定的網(wǎng)址，而對(duì)于中國(guó)很多用戶而言，“不防問(wèn)來(lái)源不明的網(wǎng)址”已經(jīng)成為上網(wǎng)習(xí)慣，并且在PC端有大量的安全工具和管理工具對(duì)點(diǎn)擊行為進(jìn)行攔截或者提醒，甚至許多瀏覽器和聊天工具也整合了相關(guān)的功能。
同樣，即使點(diǎn)擊了，也不代表路由器被黑是聽(tīng)天由命的事情。黑客是通過(guò)遠(yuǎn)端WEB管理界面訪問(wèn)路由器獲取root權(quán)限，在成功引誘用戶點(diǎn)擊連接之后，攻擊是否成功就要看遠(yuǎn)端WEB管理IP地址選項(xiàng)是否開(kāi)啟，那么接下來(lái)的問(wèn)題就是路由器有沒(méi)有開(kāi)啟對(duì)應(yīng)的功能以及如何進(jìn)行設(shè)置的。因此在不確定自己的路由器是否會(huì)被黑之前不妨先考慮一個(gè)問(wèn)題，你知道什么是“遠(yuǎn)端WEB管理IP地址”嗎？
另一方面，國(guó)內(nèi)外安全組織也正在對(duì)黑客所指定的DNS服務(wù)器進(jìn)行解析，將逐步了解黑客通過(guò)該服務(wù)器做了哪些進(jìn)一步攻擊的行為，甚至追查黑客攻擊的始作俑者。
其實(shí)報(bào)告中黑客所使用的并不是什么新技術(shù)，早在一年多以前，我國(guó)的國(guó)家信息安全漏洞共享平臺(tái)（CNVD）就收錄了一條編號(hào)為CNVD-2013-20783的路由器安全漏洞，這個(gè)漏洞由波蘭網(wǎng)絡(luò)安全專(zhuān)家Sajdak發(fā)現(xiàn)，最早發(fā)現(xiàn)存在于TP-Link的產(chǎn)品中，后來(lái)Sajdak又陸續(xù)發(fā)現(xiàn)其他一些型號(hào)的路由器產(chǎn)品中也存在同樣的漏洞，因此公布了相關(guān)信息，當(dāng)時(shí)除了國(guó)家信息安全漏洞共享平臺(tái)之外，各地的公安部門(mén)和網(wǎng)絡(luò)安全機(jī)構(gòu)也都同步發(fā)布了信息，以提醒廣大網(wǎng)友注意檢查和預(yù)防攻擊行為。
在漏洞信息發(fā)布不久，以TP-Link為首的廠商也積極進(jìn)行了回應(yīng)，立即給出了最直接的解決辦法，即徹底關(guān)閉“遠(yuǎn)端WEB管理IP地址”，或者將IP地址設(shè)置為0.0.0.0。同時(shí)，廠商承諾將盡快升級(jí)路由器產(chǎn)品的固件封堵漏洞。在中國(guó)，這已經(jīng)都是去年春天的事情了。
總結(jié)：路由被黑影響范圍其實(shí)有限，應(yīng)保持高安全意識(shí)
由于這次攻擊要同時(shí)滿足路由器固件沒(méi)升級(jí)、用戶點(diǎn)擊指定鏈接以及用戶開(kāi)啟特定選項(xiàng)三個(gè)條件，因此本身就是一種成功率非常低的攻擊行為。也正是因?yàn)槿绱耍谶@次路由器被黑的事件中，網(wǎng)民數(shù)量稱霸全球的中國(guó)并未受到什么影響，至少在報(bào)告中并沒(méi)有被提及，可見(jiàn)不論是網(wǎng)絡(luò)安全部門(mén)、企業(yè)還是網(wǎng)絡(luò)設(shè)備制造商，遇到安全問(wèn)題時(shí)的響應(yīng)都是十分迅速的，并且可以看出中國(guó)網(wǎng)民的網(wǎng)絡(luò)安全知識(shí)普及程度也明顯高于周邊國(guó)家。
不過(guò)對(duì)于用戶來(lái)說(shuō)，躲過(guò)一次攻擊并不意味永久的安全，其中暴露的問(wèn)題還是要引人深思的。比如為什么多個(gè)品牌的路由器產(chǎn)品會(huì)有相同的漏洞存在，比如為什么有些路由器的相關(guān)選項(xiàng)默認(rèn)是開(kāi)啟狀態(tài)等等。同時(shí)，目前路由器的架構(gòu)相對(duì)老舊、無(wú)法承載基于硬件的安全模塊等問(wèn)題也亟待解決，也許黑客發(fā)現(xiàn)的下一個(gè)漏洞就會(huì)造成更大危害，但令我們欣喜的是，路由器和無(wú)線路由器的改革正在緩慢推進(jìn)，一些智能化的產(chǎn)品已經(jīng)逐步在市場(chǎng)上露面，并且獲得了高通這樣的上游芯片廠商支持，未來(lái)的路由器產(chǎn)品不但能夠承載更加繁重的網(wǎng)絡(luò)任務(wù)，并且安全性也會(huì)得到大大增強(qiáng)，我們的上網(wǎng)環(huán)境也將變得更高速和安全。

› 智能家居 / NAS / 路由 / 開(kāi)發(fā) / 音響 › 智能路由器論壇

全球30萬(wàn)臺(tái)路由被黑的背后

全球30萬(wàn)臺(tái)路由被黑的背后