在过去的一个月里,一场针对企业路由器的复杂攻击活动愈演愈烈,威胁行为者利用此前未知的漏洞在企业网络中建立了持久的访问权限。
安全研究人员观察到,专门针对网络基础设施设备的攻击大幅增加,其中特别针对部署在金融服务、医疗保健和政府部门的企业级路由器。
攻击模式通常始于利用常见路由器型号中未打补丁的固件漏洞,使攻击者能够绕过身份验证机制。
一旦进入网络,威胁行为者就会部署定制的恶意软件,该软件能够建立命令与控制功能,同时积极隐藏自身,使其不被标准监控工具发现。
最令人担忧的是,攻击者甚至能够在固件更新后仍保持对系统的控制 —— 对于那些努力重新控制受攻击设备的安全团队来说,这种技术极大地增加了修复工作的难度。
初步分析表明,这些路由器被攻陷的事件成为了攻击者在企业网络中横向移动的切入点,进而导致数据泄露、勒索软件的部署,在某些情况下,甚至会导致整个网络被接管。
考虑到攻击手段的复杂性以及对关键行业组织的战略针对性,这次攻击活动似乎是由一个拥有大量资源的专业威胁行为者所为。
Forescout 的研究人员通过对Forescout Device Cloud 中数百万台设备的分析,发现了这一令人不安的趋势。
Forescout 的 Vedere Labs 在其最近发布的2025 年风险评估报告中指出:“网络设备,尤其是路由器,已经取代终端设备,成为了最具风险的一类信息技术设备。”
他们的研究结果显示,在存在最严重漏洞的设备中,路由器占比高达惊人的 50%,这使得它们成为了专业威胁行为者的主要攻击目标。
针对路由器的攻击增加,与各行业在网络协议使用方面出现的令人担忧的转变相吻合。
Forescout 的数据显示,加密的 SSH 连接使用减少,而未加密的 Telnet 协议的部署增加 —— 这尤其在政府网络中形成了一个完美的漏洞风暴,Telnet 协议的使用在这些网络设备中从 2% 跃升至 10%。
感染机制:路由器内存损坏漏洞
主要的感染途径是利用受影响路由器的 Web 管理界面中存在的内存损坏漏洞。
攻击始于一个精心构造的 HTTP POST 请求,该请求包含格式错误的参数,会触发路由器身份验证模块中的缓冲区溢出。
这使得攻击者能够以提升的权限执行任意代码。一个典型的攻击请求遵循以下模式:
POST /cgi-bin/webcm HTTP/1.1
Host: [router-ip]
Content-Type: application/x-www-form-urlencoded
Content-Length: 227
var:command=system&var:argv=echo “#!/bin/sh” > /tmp/init; echo “[malicious payload]” >> /tmp/init; chmod 777 /tmp/init; /tmp/init &
成功利用该漏洞后,恶意软件会通过修改路由器的引导加载程序配置来实现持久化控制。
然后,它会在固件存储区域内创建一个隐藏分区,使其能够在恢复出厂设置和固件更新后依然存活。
该恶意软件会持续监控管理会话并拦截配置备份,插入额外代码,以确保在原始攻击被检测到时能够再次感染系统。
这种复杂的持久化机制可在多种路由器型号上运行,其技术水平之高令人震惊,这表明可能有高度有组织的网络犯罪团伙参与其中。
安全团队应立即对其网络基础设施中的易受攻击设备进行审计,实施网络分段以隔离路由器管理接口,对所有管理活动强制使用加密连接,并部署能够检测网络设备异常行为的持续监控解决方案。
鉴于路由器漏洞目前已成为企业安全面临的最重大威胁,各组织必须相应地优先开展修复工作。
发表评论
您还未登录,请先登录。
登录