行业新闻与博客

已更新来自 DrayTek 的企业网络工具包中的两个关键漏洞正在受到主动攻击，这促使我们紧急呼吁应用最近发布的固件更新。

一对攻击基团是在居易活力企业路由器和交换机装置各自利用单独的零日命令注入缺陷对企业网络，其他攻击间内的交通窃听，根据交上奇虎 360 的 Netlab 博客。

一个威胁组织显然利用了 keyPath 漏洞来通过纯文本下载并执行恶意脚本。

奇虎 360 网络安全研究实验室主任龚一鸣对《每日新闻》说：“最有趣的是，被黑客入侵的设备不能执行常规的僵尸网络程序，例如 DDoS，挖掘或垃圾邮件。”

“相反，他们监听用户的流量，这意味着他们可能瞄准的是更大的目标。”

第二个攻击组针对一个 rtick 错误，以创建 SSH 和 Web 会话后门并创建系统后门帐户。

这些缺陷会影响 Vigor 2960、300B 和 3900 型。

时间线

Qihoo 360 首先在 2019年12月4日检测到攻击。四天后，Gong 表示研究人员向第三方供应商披露了攻击，他们说“他们将中继消息”，但后来发现并没有完成。

DrayTek 的发言人确认他们从未收到此报告。

发言人告诉《每日新闻》，“显然，首先要向供应商报告问题，并为解决方案和用户升级留出足够的时间，这是保护用户的最佳方法。”他补充说，他们有一个公开的官方渠道。

12月25日，奇虎 360 在两个 Twitter 帖子中披露了正在进行的攻击（但未涉及供应商），表明全球大约有 100,000 台设备易受攻击。

安全研究人员还向几个国家计算机紧急响应小组报告了此问题。

在 2月10日发布的安全公告中，台湾宽带设备制造商 DrayTek 表示，它最终在 1月30日意识到了“可能的利用”，并在 2月6日发布了固件版本 1.5.1 来解决该问题。 

奇虎 360 的 Yiming Gong 说，Draytek 引用的单个 CVE（CVE-2020-8515）与这两个缺陷有关。

给用户的建议

对于无法打补丁的用户，DrayTek 的通报敦促其受影响的 Vigor 模型的用户“禁用远程（管理员）访问”，以作为防范潜在攻击的解决方法。

同时，奇虎 360 的研究人员建议用户“检查系统上是否存在 tcpdump 进程，SSH 后门帐户，Web 会话后门等” –所有潜在的危害指标。

本文已于 4月8日更新，对所引用的 CVE 条目做了澄清

本文由机器译制