各国政府警告企业:立即改善路由器安全管理

全球19个联邦机构联合发布网络安全公告,警告俄罗斯国家级黑客组织正利用SNMP协议漏洞和Cisco设备已知CVE,攻击配置薄弱的企业路由器,窃取含有凭据和网络拓扑信息的配置文件。专家指出,企业普遍存在"一劳永逸"的路由器管理态度,安全责任归属模糊,遗留设备难以替换。建议企业立即升级至SNMPv3、禁用Cisco Smart Install、启用多因素认证,并加强网络异常检测能力。

全球多国安全机构发出警告,俄罗斯政府支持的黑客正在利用路由器安全漏洞发动攻击,企业必须立即采取行动加以应对。

一份最新发布的多国网络安全联合通报指出,网络攻击者持续利用防护不足或配置不当的网络设备实施攻击,手段多年来几乎未变。该通报由北美、英国、欧洲及澳大利亚共19家联邦机构联合发布,指出威胁行为者通过扫描存在弱点的设备(通常为路由器),"机会性"地渗透关键基础设施网络。

攻击者随后将设备配置文件传输至其控制的服务器。Info-Tech研究集团高级研究分析师Seva Ioussoufovitch指出,这些文件中包含明文或弱加密的信息,如凭证或组织网络架构详情,具有极高的利用价值。"听起来很简单,但这种手法已被利用超过十年,至今依然有效。"他说道。

攻击手法解析

国家支持的网络犯罪分子首先通过标准简单网络管理协议(SNMP)框架发送请求,扫描仍在使用旧版SNMPv1或SNMPv2协议的不安全设备。这些旧协议接受通用或默认的"团体字符串"作为认证方式,本质上是可预测的共享密码,许多管理员从未更改过默认设置。此外,大量设备仍保持基本的路由器默认配置。

攻击者使用伪造的IP地址,指令运行在这些设备上的SNMP代理将配置文件复制并传输至其控制的虚拟私有服务器(VPS)。与此同时,攻击者还在利用思科设备及其Smart Install(SMI)工具中的已知漏洞。

通报显示,攻击者至少利用了CVE-2018-0171和CVE-2008-4128两个漏洞,两者均针对思科路由器,使远程未授权攻击者能够执行任意代码、实施未授权操作或发动拒绝服务(DoS)攻击。

安全社区将使用上述手法的主要组织追踪标记为"Berserk Bear"、"Crouching Yeti"、"Dragonfly"、"Energetic Bear"、"Ghost Blizzard"和"Static Tundra"。通报指出,最容易遭受俄罗斯国家支持网络攻击的行业包括通信、能源、金融服务、国防工业基础、医疗卫生及政府服务等领域。

路由器安全管理为何长期被忽视

Ioussoufovitch指出,路由器安全问题的根源在于企业在安全运营上存在"多重典型短板"的叠加效应。"很多企业对路由器采取一劳永逸的管理方式,不像对待终端设备那样持续跟踪和维护。"他说。

路由器对业务连续性至关重要,这本应使安全更新更加迫切,但现实情况却恰恰相反。部分企业甚至存在安全职责不清的问题——安全团队和网络团队相互推诿,没有人真正负责设备安全。此外,许多企业仍依赖已停止支持的遗留硬件,却不愿进行更换。

Ioussoufovitch总结道:"网络安全显然没有得到与终端安全同等级别的重视。"

各机构给出的具体建议

相关机构敦促安全团队和网络管理员立即采取以下措施:升级至SNMPv3、强制使用安全密码、禁用思科Smart Install,并在防火墙层面封锁SNMP及常见文件传输方式。

企业应立即停用SNMPv1和SNMPv2,这两个协议均属遗留协议,在当前设备上已无继续使用的必要。如确有需要,应从默认设置切换为仅授予只读访问权限。

通报建议,SNMPv3应配置authPriv并采用最新加密标准。SNMPv3提供了此前版本所不具备的强认证和数据加密能力,参数编码也更为安全。Ioussoufovitch对此表示认同:"迁移至SNMPv3是安全团队现在就需要优先落实的明确可操作步骤。"

相关机构还要求企业为网络设备本地账户使用强且唯一的密码,监测不符合标准命名规范的异常凭证,部署多因素认证(MFA),并对SNMP等管理协议实施访问白名单控制。此外,企业还应及时更新网络设备软件,淘汰生命周期终止的设备,并在初始配置完成后立即禁用思科Smart Install功能。

企业应主动提升网络安全防御能力

Ioussoufovitch指出,此次通报的发布本身就是一个信号,说明企业在网络安全方面的投入仍然不足。管理员和安全负责人应当认真审视以下问题:是否具备有效的网络检测与响应能力?是否对网络流量模式应用了分析和异常检测手段?是否在企业环境中实施了微分段,以限制单一路由器被攻破所带来的风险蔓延?

"至少落实部分主动防御措施,同时对生命周期终止设备的追踪与替换采取更严格的管控,将有助于安全团队和网络团队在应对此类威胁方面取得切实进展。"Ioussoufovitch说道。

Beauceron Security的David Shipley同样认为企业网络设备安全亟待改善,但他认为更大的责任在于厂商而非关键基础设施运营方。厂商在出货时就应确保产品默认安全,不应让用户事后自行开启安全功能。他补充说,希望看到网络设备能够达到可抵御Salt Typhoon级别攻击的安全标准。"目前,攻击者拿下这些网络设备简直轻而易举。"

Shipley表示,相关安全指南固然重要,但"从源头造出更安全的产品、默认就是安全的,才能发挥更大的作用。"

Q&A

Q1:SNMP协议存在哪些安全风险?

A:SNMPv1和SNMPv2使用可预测的默认"团体字符串"作为认证方式,相当于共享密码,且通常未被管理员修改。攻击者可利用这一弱点扫描并入侵配置不当的路由器,获取设备配置文件,进而掌握网络架构和凭证信息。这两个旧版协议已被认定为遗留协议,安全机构建议企业立即停用,升级至提供强认证和数据加密的SNMPv3。

Q2:思科Smart Install工具为什么会带来安全隐患?

A:思科Smart Install是一种便于网络设备初始配置的工具,但如果在配置完成后未被及时禁用,便会成为严重的安全漏洞入口。攻击者已利用与该工具相关的CVE漏洞(包括2008年和2018年披露的漏洞)对思科路由器发动攻击,实现远程未授权代码执行或拒绝服务攻击。各安全机构建议,初始配置完成后应立即在所有设备上禁用该功能。

Q3:企业应如何改善路由器安全管理?

A:安全机构给出了多项具体建议:立即停用SNMPv1和SNMPv2,部署配置了最新加密标准的SNMPv3;为设备本地账户设置强且唯一的密码;启用多因素认证;在防火墙层面封锁SNMP及文件传输通道;定期更新设备软件并淘汰已停止支持的遗留设备。此外,企业还应建立网络检测与响应能力,部署异常流量分析,并通过微分段降低单点被攻破的影响范围。

来源:Networkworld

0赞

好文章,需要你的鼓励

2026

07/14

13:17

分享

点赞

邮件订阅