一個一直利用軟件漏洞劫持?jǐn)?shù)萬臺思科設(shè)備的黑客組織似乎已經(jīng)改變了策略以避免被發(fā)現(xiàn)����。由于路由器、交換機(jī)和無線控制器中使用的 IOS XE
軟件存在缺陷���,黑客最后被發(fā)現(xiàn)入侵了多達(dá) 40,000 臺思科設(shè)備���。然后,隨著思科推出補(bǔ)丁來應(yīng)對威脅�����,
上周末被劫持設(shè)備的數(shù)量開始神秘下降�����。感染數(shù)量的下降最初表明思科客戶正在迅速采取行動來遏制該漏洞����。但現(xiàn)在有證據(jù)表明��,該黑客組織只是更新了其技術(shù)�,以更好地隱藏哪些思科設(shè)備被劫持����。
被劫持設(shè)備的數(shù)量似乎大幅下降。為了危害受影響的設(shè)備�,黑客一直在安裝植入程序,該植入程序可以在受感染的硬件上接收并執(zhí)行進(jìn)一步的命令��。思科最初發(fā)現(xiàn)��,被劫持的設(shè)備在收到特定
HTTP POST 時會以 18 個字符的十六進(jìn)制進(jìn)行響應(yīng)����,從而為公司提供了一種簡單的方法來掃描潛在的危害。但現(xiàn)在網(wǎng)絡(luò)安全供應(yīng)商 Fox
IT報道稱:“威脅行為者已升級植入程序以進(jìn)行額外的標(biāo)頭檢查����。因此�����,對于很多設(shè)備來說����,植入程序仍然處于活動狀態(tài)��,但現(xiàn)在只有在設(shè)置了正確的授權(quán) HTTP
標(biāo)頭時才會響應(yīng)����?����!?這一變化消除了公司識別被劫持設(shè)備的原始方式�。 Fox IT 補(bǔ)充道:“這解釋了最近幾天備受爭議的已識別受感染系統(tǒng)數(shù)量的大幅下降?�!?
好消息是Fox IT和思科都找到了其他方法來檢測黑客的植入�����。Fox IT警告稱:“Fox-IT 使用不同的指紋識別方法�����,識別出了 37890
臺仍然受到威脅的思科設(shè)備�����。 ”
思科還表示,受影響的客戶可以下載該公司的補(bǔ)丁來消除威脅�。但目前該補(bǔ)丁僅適用于 IOS XE 17.9 版本的用戶。iOS XE 17.6�、17.3 和
16.12 的補(bǔ)丁仍在發(fā)布中。同時����,客戶可以禁用設(shè)備上的 HTTP
服務(wù)器功能,以防止?jié)撛诘慕俪?�。思科補(bǔ)充說:“植入程序不是持久性的�����,這意味著設(shè)備重新啟動會將其刪除�����,但新創(chuàng)建的(黑客控制的)本地用戶帳戶即使在系統(tǒng)重新啟動后仍然保持活動狀態(tài)�。”
