思科路由器上的恶意软件SYNful 让你主动交出钥匙

ZD至顶网网络频道 10月07日 编译：在之前思科发生的一些有关路由器安全问题之后，有相关人士分析认为这些安全漏洞已经被隐藏了多年，就像OpenSSL的Heartbleed一样。而这背后的主要问题就出在思科路由器上潜伏的SYNful。

SYNful最具危险性的特点是可升级

作为SYNful的最具危险性的特点是：它可以升级。由安全公司FireEye发现SYNful是一个由用户击溃安全的典型例子。这种恶意软件，已经发现在Cisco 1841、2811和3825的路由器上，但这其实不是出现在Cisco所用的IOS系统中。而是它抢走了管理员自己的管理凭据和给予路由器的物理访问权限。

黑客闯入房子的时候你给了他钥匙？

我们知道，一旦黑客在路由器中植入了这种恶意软件，那么，就可以利用这个后门针对路由器的固件映像的版本来替换思科路由器操作系统。然后可以在网络中进行隐藏。一旦现身，这种定制的模块化恶意程序就可以更新，在网络伤口上再撒上一把盐，这个后门可能很难发现，因为它使用非标准的数据包，即伪认证的一种形式。

根据FireEye的调查称，“后门采用秘密后门密码给攻击者不受限制的访问。每个模块都通过HTTP协议（而不是HTTPS）启用，使用发送到路由器接口一个特制的TCP数据包，数据包有一个非标准的顺序和相应的确认号码。该模块可以体现自己的路由器IOS提供类似的后门密码的功能中作为独立的可执行代码或挂钩的后门密码才能访问真正的控制台和Telnet的路由器。“

另外，一些学者已经搜查了通过互联网IPv4与ZMAP感染的Cisco路由器。到目前为止，已经找到了“79台主机显示的行为与SYNful植入特征相似。”

然而，这个事件告诉我们安全不仅仅因为自身的程序比较弱，再强的软件也不能保障万无一失，因为这不意味着攻击者不能“升级”。所以在此期间，您的网络仍然是敞开各种数据在袭击和加载其他恶意程序的威胁之下。

最后，还是建议各位应该尽快检查一下，如果你的路由器已被病毒感染，那么请尽快使用Snort的新思科塔洛斯Snort规则SID：36054。