全球多国安全机构发出警告,俄罗斯政府支持的黑客正在利用路由器安全漏洞发动攻击,企业必须立即采取行动加以应对。
一份最新发布的多国网络安全联合通报指出,网络攻击者持续利用防护不足或配置不当的网络设备实施攻击,手段多年来几乎未变。该通报由北美、英国、欧洲及澳大利亚共19家联邦机构联合发布,指出威胁行为者通过扫描存在弱点的设备(通常为路由器),"机会性"地渗透关键基础设施网络。
攻击者随后将设备配置文件传输至其控制的服务器。Info-Tech研究集团高级研究分析师Seva Ioussoufovitch指出,这些文件中包含明文或弱加密的信息,如凭证或组织网络架构详情,具有极高的利用价值。"听起来很简单,但这种手法已被利用超过十年,至今依然有效。"他说道。
攻击手法解析
国家支持的网络犯罪分子首先通过标准简单网络管理协议(SNMP)框架发送请求,扫描仍在使用旧版SNMPv1或SNMPv2协议的不安全设备。这些旧协议接受通用或默认的"团体字符串"作为认证方式,本质上是可预测的共享密码,许多管理员从未更改过默认设置。此外,大量设备仍保持基本的路由器默认配置。
攻击者使用伪造的IP地址,指令运行在这些设备上的SNMP代理将配置文件复制并传输至其控制的虚拟私有服务器(VPS)。与此同时,攻击者还在利用思科设备及其Smart Install(SMI)工具中的已知漏洞。
通报显示,攻击者至少利用了CVE-2018-0171和CVE-2008-4128两个漏洞,两者均针对思科路由器,使远程未授权攻击者能够执行任意代码、实施未授权操作或发动拒绝服务(DoS)攻击。
安全社区将使用上述手法的主要组织追踪标记为"Berserk Bear"、"Crouching Yeti"、"Dragonfly"、"Energetic Bear"、"Ghost Blizzard"和"Static Tundra"。通报指出,最容易遭受俄罗斯国家支持网络攻击的行业包括通信、能源、金融服务、国防工业基础、医疗卫生及政府服务等领域。
路由器安全管理为何长期被忽视
Ioussoufovitch指出,路由器安全问题的根源在于企业在安全运营上存在"多重典型短板"的叠加效应。"很多企业对路由器采取一劳永逸的管理方式,不像对待终端设备那样持续跟踪和维护。"他说。
路由器对业务连续性至关重要,这本应使安全更新更加迫切,但现实情况却恰恰相反。部分企业甚至存在安全职责不清的问题——安全团队和网络团队相互推诿,没有人真正负责设备安全。此外,许多企业仍依赖已停止支持的遗留硬件,却不愿进行更换。
Ioussoufovitch总结道:"网络安全显然没有得到与终端安全同等级别的重视。"
各机构给出的具体建议
相关机构敦促安全团队和网络管理员立即采取以下措施:升级至SNMPv3、强制使用安全密码、禁用思科Smart Install,并在防火墙层面封锁SNMP及常见文件传输方式。
企业应立即停用SNMPv1和SNMPv2,这两个协议均属遗留协议,在当前设备上已无继续使用的必要。如确有需要,应从默认设置切换为仅授予只读访问权限。
通报建议,SNMPv3应配置authPriv并采用最新加密标准。SNMPv3提供了此前版本所不具备的强认证和数据加密能力,参数编码也更为安全。Ioussoufovitch对此表示认同:"迁移至SNMPv3是安全团队现在就需要优先落实的明确可操作步骤。"
相关机构还要求企业为网络设备本地账户使用强且唯一的密码,监测不符合标准命名规范的异常凭证,部署多因素认证(MFA),并对SNMP等管理协议实施访问白名单控制。此外,企业还应及时更新网络设备软件,淘汰生命周期终止的设备,并在初始配置完成后立即禁用思科Smart Install功能。
企业应主动提升网络安全防御能力
Ioussoufovitch指出,此次通报的发布本身就是一个信号,说明企业在网络安全方面的投入仍然不足。管理员和安全负责人应当认真审视以下问题:是否具备有效的网络检测与响应能力?是否对网络流量模式应用了分析和异常检测手段?是否在企业环境中实施了微分段,以限制单一路由器被攻破所带来的风险蔓延?
"至少落实部分主动防御措施,同时对生命周期终止设备的追踪与替换采取更严格的管控,将有助于安全团队和网络团队在应对此类威胁方面取得切实进展。"Ioussoufovitch说道。
Beauceron Security的David Shipley同样认为企业网络设备安全亟待改善,但他认为更大的责任在于厂商而非关键基础设施运营方。厂商在出货时就应确保产品默认安全,不应让用户事后自行开启安全功能。他补充说,希望看到网络设备能够达到可抵御Salt Typhoon级别攻击的安全标准。"目前,攻击者拿下这些网络设备简直轻而易举。"
Shipley表示,相关安全指南固然重要,但"从源头造出更安全的产品、默认就是安全的,才能发挥更大的作用。"
Q&A
Q1:SNMP协议存在哪些安全风险?
A:SNMPv1和SNMPv2使用可预测的默认"团体字符串"作为认证方式,相当于共享密码,且通常未被管理员修改。攻击者可利用这一弱点扫描并入侵配置不当的路由器,获取设备配置文件,进而掌握网络架构和凭证信息。这两个旧版协议已被认定为遗留协议,安全机构建议企业立即停用,升级至提供强认证和数据加密的SNMPv3。
Q2:思科Smart Install工具为什么会带来安全隐患?
A:思科Smart Install是一种便于网络设备初始配置的工具,但如果在配置完成后未被及时禁用,便会成为严重的安全漏洞入口。攻击者已利用与该工具相关的CVE漏洞(包括2008年和2018年披露的漏洞)对思科路由器发动攻击,实现远程未授权代码执行或拒绝服务攻击。各安全机构建议,初始配置完成后应立即在所有设备上禁用该功能。
Q3:企业应如何改善路由器安全管理?
A:安全机构给出了多项具体建议:立即停用SNMPv1和SNMPv2,部署配置了最新加密标准的SNMPv3;为设备本地账户设置强且唯一的密码;启用多因素认证;在防火墙层面封锁SNMP及文件传输通道;定期更新设备软件并淘汰已停止支持的遗留设备。此外,企业还应建立网络检测与响应能力,部署异常流量分析,并通过微分段降低单点被攻破的影响范围。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。