美CIA CherryBlossom项目暴露路由器安全问题
  

洛城 1507

{{ttag.title}}

维基解密发布了有关CherryBlossom的信息,据称是由中央情报局与斯坦福研究院共同开发的。维基解密宣称该项目“专注于损害无线网络设备,如无线路由器和接入点”,以利用和监控目标的互联网活动。

“这些设备是中间人(man-in-the-middle,MitM)攻击的理想场所,因为它们可以很容易地监视、控制和操纵连接用户的internet流量。通过改变用户和internet服务之间的数据流,受感染的设备可以将恶意内容注入到流中,来利用目标用户计算机上的应用程序或操作系统中的漏洞”,维基解密在一份博客文章中写道。“无线设备本身通过在其上植入自定义的CherryBlossom固件而受到损害;某些设备允许通过无线链路升级其固件,因此成功感染时不需要对设备进行物理访问。”

固件路由器安全问题

专家指出,CherryBlossom项目所利用的主要问题是大量路由器不验证固件更新的数字签名。

Rendition InfoSec LLC咨询公司的创始人之一Jake Williams说,比中情局的参与重要的是:“如何获取数字签名的固件能够防止这种特定的攻击。”

“如果路由器没有验证固件上的数字签名,攻击就很容易,加载自定义恶意固件简直不值一提”,Williams表示。“大多数路由器不验证签名,您需要购买企业级产品,大多数才会在固件更新前进行签名认证。”

然而,Core Security的安全研究员Bobby Kuzma指出,企业级设备可能因不执行固件签名而存在路由器安全问题。

“在企业级产品方面,大型路由器制造商已经提供签名固件的验证有一段时间了,问题是默认情况下大部分都没有启用,并且要求网络管理员在现实中去做一些事情,”Kuzma表示。“思科和瞻博网络工具都依赖于MD5哈希算法,MD5被破解为散列算法,其已有几种已知和可行的技术,用于从不同的二进制内容生成相同的散列。”

Fidelis 某公司的威胁系统经理John Bambenek表示,如果一个恶意的威胁源可以控制路由器,他们能够控制一切。

“我可以轻松地将DNS请求重定向到一台我所控制的服务器,这意味着我知道您查找的每个域名,我可以通过我控制的设备重新路由所有流量,这意味着我可以设置一个窃听。”Bambenek表示:“我可以将URL和密码发送到中央服务器,实质上,它将您的家庭路由器变成一个情报监听站点。”

路由器安全问题远远不止固件签名

Williams指出,加载自定义固件甚至不需要像CherryBlossom项目一样进行类似的攻击。

“要安装固件,他们需要以管理员权限访问路由器。如果他们有,他们可以修改上游信息诸如DNS(以及许多型号中的iptables)和在许多没有任何固件型号上捕获的流量。如果我控制你的DNS,我可以MitM任何东西”,Williams通过特推表示。“所以需要注意的一点是,通过管理员权限访问(中情局所需要这个),没有CIA级别预算的攻击者可以实现大部分相同的目标。”

Kuzma表示,自定义固件允许附加的隐身以及“各种不是标准的有趣功能”。

“通过植入体,您可以静默重定向流量,在流量路由器时捕获流量,甚至使用路由器本身作为枢纽点,将命令流量中继到网络中其他地方的植入体,并且不会以以下形式提出怀疑: 日志的远程访问”,Kuzma说。

Varonis系统公司现场工程副总裁Ken Spinner表示,路由器安全问题应该往往落在那些拥有“先出货,晚点再升级”心态的制造商身上,尽管许多人——特别是消费者——永远不会更新路由器固件。

“这样的攻击强调了外围将永远有漏洞——像许多旧有技术一样,路由器并没有考虑到安全性,我们必须更积极地规划攻击者突破了第一线防线以后的办法:因此需要有及时的安全控制来监控和检测入侵者”,Spinner称。“如果黑客使用像CherryBlossom这样的工具来扫描诸如密码之类的信息,那么您将需要在内部进行安全防御,以确保用户帐户和对敏感信息的访问受到监控,以便您知道用户何时开始行为可疑或者有帐户被盗用。”

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

新手403962 发表于 2019-5-17 16:10
  
大家好,初来乍到,嘿嘿!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

SANGFOR...

本周分享达人