在當前的資安威脅中,許多企業和個人因為使用已不再提供支持的網路設備,成為駭客攻擊的目標。特別是對於那些由於生命週期結束(EOL)而無法獲得安全更新的路由器和設備,駭客常將它們視為容易突破的弱點。此篇文章探討了資安業者Sekoia對於思科小型路由器漏洞CVE-2023-20118的攻擊事件,揭示了越來越多的設備遭到駭客控制,並且駭客利用這些漏洞組建了龐大的殭屍網路,從而加深了資安風險。
CVE-2023-20118漏洞存在於思科6款小型路由器設備的網頁管理介面中,這是一個遠端命令執行漏洞,攻擊者只需透過身分驗證就能執行任意命令,成功利用此漏洞後,駭客可輕易地綁架設備,並進一步發動攻擊。根據Sekoia的報告,這項漏洞在今年初就已被廣泛利用,當時超過2,000台設備受害。隨著時間的推移,攻擊者的規模和影響範圍進一步擴大,其中中國駭客組織ViciousTrap就透過此漏洞控制了超過5,000台路由器。
作者詳細描述了ViciousTrap駭客組織如何利用漏洞植入Shell指令碼NetGhost,並將網路流量導向類似蜜罐的基礎設施。這些流量的重新導向機制使得駭客能夠收集未公開的弱點或零時差漏洞,進一步用於其他的攻擊行動。這種策略使得駭客可以在全球範圍內擴展其控制範圍,並能夠重複利用已入侵設備的管道來進行未來攻擊。
根據Sekoia的調查,這波攻擊的影響範圍跨越84個國家,超過5,300台設備成為受害者。最嚴重的國家是澳門,這裡有近850台設備被NetGhost感染,這主要是因為當地使用了大量易受攻擊的D-Link路由器。文章還特別指出,駭客重新導向的流量主要針對台灣和美國,且中國並未受到影響,這一點進一步加深了Sekoia對ViciousTrap可能來自中國的推測。
這些事件提醒我們,即便某些設備仍然可以正常運行,一旦進入EOL階段並停止更新,它們便成為了駭客進攻的肥羊。本文呼籲企業和用戶要謹慎使用過時的設備,並根據資安最佳實務,定期更新硬體和軟體,或在必要時淘汰舊設備以減少風險。此外,對於那些尚未升級的路由器和設備,應立即采取緩解措施,如停用不必要的連接埠與遠端管理功能,來保護資安安全。
