黑客对 Ubiquiti EdgeOS 路由器的入侵卷土重来

作者:Sender Su  来源:本站  发布日期:2024-03-13  最后修改日期:2024-04-04

在2024年1月份,一项国际性的大规模执法行动破坏了利用家用或小型办公室(SOHO)级别路由器产品创建的僵尸网络。执法部门还专门就此向厂家发布了路由器的安全设计要求。

没想到时间才过了一个多月,对运行 Ubiquiti EdgeOS 的路由器产品的大规模扫描和入侵已经卷土重来。

关键的是,Ubiquiti 的产品尤其是 SOHO 级别的,在国内颇受欢迎被大量部署使用,用户很可能已经中招还懵然不知。

article banner

笔者:国际认证信息系统审计师(CISA)、软考系统分析师

之前笔者就因看到了这新闻而讨论了一下:

用户如何看待和防范小型家用路由器频繁被劫持利用

僵尸网络又来了

最近,僵尸网络的控制者利用一种名为 Moobot 的变种木马,对运行 Ubiquiti EdgeOS 的路由器又开始了地毯式的入侵过程,并在控制路由器形成僵尸网络后开展各种钓鱼、信息刺探以及盗取数据的行动。

Moobot 木马是著名的木马软件家族 Mirai 的成员。木马入侵的对象除了刚才说运行 Ubiquiti EdgeOS 的路由器之外,还包括其他一些软路由系统,比如 Vyatta。

但木马入侵的对象主要还是针对运行 Ubiquiti EdgeOS 的 SOHO 级别路由器。原因就是因为家庭用户或小微企业用户对网络安全的不了解,以至对路由器安全漏洞和固件升级的重要性不敏感,也不清楚该如何执行固件升级、路由器加固等过程。

尤其是新闻媒体过度渲染了之前的执法行动的成功,反而使得用户放松警惕,以为危险已经解除。

人性就是如此。

关键安全点

从 EdgeRouter 的情况看,路由器安全的基础关键点就在于三方面:

1、路由器的管理员身份凭据,是否要求了用户在第一次使用时就设置高强度密码,而不是统一出厂一套默认的用户名和密码

2、是否区分内网和外网预设了不同的防火墙拦截规则

3、是否具备自动升级固件的功能。

很可惜,以上三条是大多数普通用户都不会主动去做的事。除非路由器产品遵循以安全为出发点的设计要求,强迫用户在部署使用路由器时就默认做好这些设置。

相关执法机构继续就 EdgeRouter 的网络安全风险而发布新的建议说明,详细描述了木马的运行细节[1],比如,由于 EdgeOS 是基于 Linux 改造而来的操作系统,因此当僵尸网络入侵了路由器后,僵尸网络的控制者可以在路由器上执行任意想做的事,包括安装更多的黑客工具,并隐藏自身的行踪。

我是用户怎么办

专业的东西下面再谈。这里需要说一下另外一个用户误区:重启路由器。出于对计算机网络设备的不了解,相当一部分用户误以为只需要简单地断电重启路由器,入侵的木马就会消失。

比如我妈就全靠“重启路由器”、“重启手机”去解决故障,一招鲜吃遍天。

实际上,消除木马程序需要进行如下操作:

1、对路由器进行工厂重置操作(通常是一个很小的按钮,或者是需要大头针去捅的一个小洞)

2、然后进行固件升级

3、修改默认用户名和密码

4、最后对外内网分别设置合适的防火墙规则。

用户需要记住的是,路由器是外网和内网之间的关键对接点。一旦路由器被入侵,入侵者就可以在内网进行进一步的渗透和破坏操作,从而达成其更高层次的目标。

我是网管我都懂

对于网络管理员来说,可以通过执法机构给出的文档[1]加深对攻击情况的了解。文档可以帮助网络管理员理解攻击并定位由BOTNET控制者进行的数据传输行为,给出了如何辨别路由器是否遭受入侵的特征和方法,包括检查 BASH 操作历史、IPTABLES 设置和 .SSH 目录下是否存在有不明的密钥等情况。

从文档内容可以发现,Moobot 木马并不简单,会使用 SSH 协议实现和控制端的加密通信,模拟使用 SHELL 环境实现对路由器的篡改和控制,包括下载恶意软件的更多组件。

而且,而在控制了路由器之后,木马会设置IPTABLES规则开放端口,把路由器设置为可以接收外部联系的僵尸网络节点......专业的都懂,我就不啰嗦了。

最后建议

最后呢,对于一般人来说,如果你的路由器不能通过升级固件实现默认的安全要求,笔者的建议是:

换一台新的吧。

参考信息

[1] Russian Cyber Actors Use Compromised Routers to Facilitate Cyber Operations

https://www.ic3.gov/Media/News/2024/240227.pdf

[2] Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers

https://www.cisa.gov/sites/default/files/2024-01/SbD-Alert-Security-Design-Improvements-for-SOHO-Device-Manufacturers.pdf

[3] Make security by design mainstream: this time around

https://www.scmagazine.com/perspective/make-security-by-design-mainstream-this-time-around

[4] Ubiquiti 的固件下载官方地址

https://ui.com/download/releases/firmware

本栏目相关
  •  2024-04-15 有什么蛛丝马迹可以判断系统存在SQL注入漏洞,且如何临时应对?
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
    • 微信订阅号二维码

    本页网址二维码: