德国电信公司已经确认称,一起网络活动引发超过90万台路由器设备发生严重连接问题。
归属于德国境内用户的超过90万台德国电信路由器受到网络攻击活动影响,并直接导致无法正常接入互联网。
此批受到影响的路由器主要负责为各德国电信客户提供固话及电视服务。
这一问题至少持续了两天,中断事故发生于11月27日星期天当地时间约下午5点。
德国境内的众多德国电信用户因这一事故而无法利用路由设备正常接入网络。
以下图表为Allestoerungen.de网站汇总的中断事故影响范围。
此次服务中断在星期天当天持续了数个小时,随后问题又于星期一上午8点再度出现。
德国电信公司通过Facebook向其2000万客户发出通知,表示其已经于星期一中午12点左右修复了问题,但用户当时仍然无法正常使用网络连接。
到底发生了什么情况?
根据德国电信方面的介绍,黑客利用了各路由器设备中的一项安全问题。德国电信及多家路由器厂商正在全力开发一项固件修复补丁并加以发布。
德国电信方面目前已经开始发布相关固件更新。
“根据联邦信息技术安全办公室(简称BSI)的调查,此次德国电信遭遇到的大规模连接中断事故源自一起全球性网络攻击,”Abendblatt.de网站指出。
“根据BSI方面公布的消息,此轮攻击亦影响到了受到政府保护的政府网络,不过可通过有效保护措施加以解决。”
德国电信公司向客户们发布建议,称用户可以拔掉其设备并等待30秒,而后重启路由器。如果尝试之后服务仍无法恢复,则用户应当永久断开这些无法与德国电信网络相连通的路由器设备。
“德国电信目前已经在为受影响的路由器提供固件更新方案。其亦向受影响用户建议关闭设备电源,等待30秒并再次启动。这样在引导过程中,路由器应该能够从电信服务器处接收新的固件补丁。”SANS协会报道称。
德国电信公司将持续提供免费移动互联网服务,直到这项技术问题得到彻底解决。
另外,德国电信并没有提供与此次所谓网络攻击或者受影响路由器机型相关的细节性技术信息。
目前尚不清楚德国电信的路由器到底是受到何种威胁的影响,有专家估计这可能是一种恶意软件,用于阻止设备接入德国电信公司网络。
来自ISC Sans的安全专家们公布了一份报告,披露称其通过扫描在Speedport路由器系列上通过端口7547发现了一项SOAP远程代码执行(简称RCE)漏洞。
这一特定路由器机型被德国电信广泛应用于德国的本土用户当中。
“过去两天以来,针对端口7547的攻击活动开始大幅增加。扫描显示其利用的是广泛存在于DSL路由器中的一项安全漏洞。此漏洞可能已经导致德国ISP德国电信服务器受到影响,亦可能感染了其它设备(考虑到美国刚刚度过周末)。对德国电信公司而言,Speedport路由器似乎已经成为最严重的问题所在。”ICS SANS方面补充称。
“根据Shodan方面的说法,约4100万台设备开启了端口7547。对SOAP漏洞进行扫描的恶意代码似乎源自Mirai恶意软件。目前,蜜罐机制发现各目标IP每5到10分钟即会收到一条请求。”
通过ICS SANS发布的报告,看起来攻击者似乎是在利用存在于TR-069配置协议中的一项通用漏洞。专家们强调称,Metasploit模块可用于对这一漏洞加以利用。
另外,一份尚未经过证实的受影响路由器清单中还包含有Eir D1000无线路由器(为以色列ISP Eir公司重新贴标的Zyxel Modem)以及Speedport路由器(来自德国电信)。
当然,在应对物联网设备与网络威胁时,最可怕的恶意软件无疑是Mirai僵尸网络,其此前曾被用于组织多起大规模DDoS攻击活动。
根据BadCyber方面的说法,Mirai僵尸网络在设计目标正是通过端口7547对Eir D1000(Zyxel Modem)中的漏洞加以利用。
“TR-064协议基于HTTP与SOAP,其默认端口为TCP 7547。命令会以POST请求的形式被发送至此端口,”BadCyber方面指出。
此恶意软件本身会在路由器受到感染后关闭此安全漏洞。其通过以下命令实现这一效果:
- busybox iptables -A INPUT -p tcp –destination-port 7547 -j DROP
- busybox killall -9 telnetd
这会令设备处于“安全”状态,直到下一次进行重启。第一条命令负责关闭端口7547,第二条则关闭租户服务,这意味着ISP将很难以远程方式对设备进行更新。
作者:佚名
来源:51CTO
