Ваш маршрутизатор Cisco больше не ваш — вот как проверить, работает ли он тайно на хакеров
Эксперты Eclypsium зарегистрировали резкое увеличение активности сканера, направленного на устаревшее и долгосрочное сетевое оборудование. Основная опасность состоит в том, что значительная часть этих атак происходит от уже пойманных устройств Cisco, Linksys и Araknis, которые давно вырвались из технического обслуживания и больше не получают обновления. Согласно Фонду Shadowserver, число недавно комбинированных маршрутизаторов превысило 2200 в последние месяцы, и это число продолжает расти.
В отчете Eclypsium отмечается, что злоумышленники не заинтересованы в том, используют ли они современные уязвимости или прорывы, которым старше 15 лет — важно то, что устройство остается уязвимым.
Активно эксплуатируемые модели включают Cisco Small Business RV, который полностью загружен с поддержки, диапазон LRT Linksys, который получает только ограниченные обновления и аракнисные сети AN-300-RT-4L2W, для которых больше не выпускает прошивку. Эти устройства все еще работают в инфраструктуре компаний и в домашних сетях, но практически открывают двери для атак.
Опасность увеличивается из -за протоколов, унаследованных старшими поколениями сетевого программного обеспечения. ФБР уже предупредило, что злоумышленники активно используют такие механизмы, как Cisco Smart Install (Сми) и SNMP, которые передают данные без шифрования. Хотя CVE-2018-017 был известен в течение 7 лет, он по-прежнему позволяет группам успешно атаковать оборудование. Даже когда исправления выпускаются, пользователей часто задерживаются благодаря своей установке, а малые предприятия и частные владельцы вообще игнорируют обновления, что делает проблему хроническим.
По словам исследователей, так называемые «пыльные углы» инфраструктуры ИТ представляют собой старое оборудование, унаследованные версии Windows с закрытыми приложениями и забытые услуги без обновлений. Все они остаются потенциальными точками входа. В такой среде киберпреступники должны выполнять массовое сканирование в Интернете, чтобы найти и заразить уязвимые устройства.
Наиболее распространенными целями атак сегодня были маршрутизаторы Huawei Home Gateway HG532. Почти 600 уникальных IP -адресов ежедневно атаковались ловушками Shadowserver, которые пытаются использовать критическую уязвимость в удаленном режиме, обнаруженных еще в 2017 году. Он позволяет отправлять специально созданные пакеты для полного управления устройством.
Следующие два самых популярных эксплойта связаны с брандмауэрами Sonicwall. Sonicos по -прежнему активно ищет уязвимость 2022 года, которая позволяет отказаться от обслуживания или выполнять код устройства без разрешения, а также уязвимость 2023 года, которую злоумышленники могут использовать для удаления аппаратного обеспечения безопасности. В среднем около 300 уникальных IP -адресов проверяют эти ошибки каждый день.
Сотни источников трафика все еще сканируют уязвимости в Cisco IOS XE, обнаруженных в 2018 и 2023 годах, управляют дырой в Белкин -Вемо (С 2019 года), управлять ошибкой в Realtek SDK, которая составляет более десяти лет, и управлять проблемами безопасности в Zyxel EIR D1000, известном с 2016 года.
Исследователи подчеркивают, что единственный эффективный способ снизить риск -это отказаться от устаревших протоколов, таких как Telnet, SNMP и SMI, заменить оборудование, которое больше не поднимается -на то, чтобы держать все системы в состоянии -дат, даже если они выглядят незначительными. Особенно важно регулярно обновлять прошивку маршрутизаторов и доступ к Wi-Fi, поскольку они часто являются первой целью злоумышленников.
