思科Talos安全团队的研究人员周三首先披露了恶意软件的存在。详细报告称恶意软件感染了Linksys,Mikrotik,Netgear,QNAP和TP-Link制造的超过50万台设备。被称为VPNFilter的恶意软件允许攻击者收集通信,发动对他人的攻击,并通过单一命令永久销毁设备。该报告称,恶意软件是由为先进国家工作的黑客开发的,并建议受影响路由器型号的用户执行恢复出厂设置或至少重新启动。
美国国土安全部也发表声明称,“所有SOHO路由器所有者重启设备以暂时中断恶意软件。”
正如声明中指出的那样,重新启动服务的目标是(1)暂时防止受感染设备运行收集数据和其他高级攻击的阶段,以及(2)帮助FBI官员跟踪谁受到感染。周五的声明表示,联邦调查局正在与非营利性影子基金会合作,向ISP和外国当局传播受感染设备的IP地址,以通知最终用户。
当局和研究人员仍然不确定受损设备最初是如何感染的。他们怀疑攻击者利用了最终用户尚未修补或更改的已知漏洞和默认密码。这种不确定性可能会推动FBI声明中所有路由器和NAS用户重启的建议,而不仅仅是已知受VPNFilter影响的14个模型的用户,这些用户是:
LinksysE1200
LinksysE2500
LinksysWRVS4400N
适用于云核心路由器的MikrotikRouterOS:版本1016,1036和1072
NETGEARDGN2200
NETGEARR6400
NetgearR7000
NetgearR8000
WNR1000
NETGEARWNR2000
QNAPTS251
QNAPTS439Pro
其他运行QTS软件的QNAPNAS设备
TP-LinkR600VPN
重新启动,更新,更改默认密码以及禁用远程管理的建议是合理的,并且在大多数情况下不超过15分钟。当然,更有效的措施是遵循思科给予受影响设备用户的建议并执行工厂重置,这将永久移除包括阶段1在内的所有恶意软件。这通常涉及使用回形针或拇指大拇指按住设备背面的按钮5秒钟。重置将删除设备上存储的任何配置设置,因此用户在设备最初重新启动后必须恢复这些设置。(黑客周刊)
1895
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
