根據(jù)其最近協(xié)助處理的幾個(gè)重大事件����,可以判斷出現(xiàn)了專門針對(duì)機(jī)頂盒的新型蠕蟲(chóng)��。
據(jù)其透露的信息��,此蠕蟲(chóng)病毒的感染目標(biāo)是機(jī)頂盒/OTT類的Linux為基礎(chǔ)系統(tǒng)的嵌入式設(shè)備��。
目前廣電絕大部分機(jī)頂盒都是Linux系統(tǒng)���,數(shù)量在1.5億臺(tái)以上����,可以說(shuō)全部是潛在攻擊目標(biāo)�����。而電信前期發(fā)放的非智能IPTV機(jī)頂盒也是Linux系統(tǒng)���,保有量規(guī)模也在數(shù)千萬(wàn)臺(tái)�����。
此蠕蟲(chóng)的特性概括如下�,提醒各級(jí)網(wǎng)管引起足夠重視:
1)感染目標(biāo)是機(jī)頂盒/OTT類的Linux為基礎(chǔ)系統(tǒng)的嵌入式設(shè)備,其管理IP暴露于內(nèi)網(wǎng)可以訪問(wèn);
2)利用的是存在admin/admin���、root/root等默認(rèn)弱密碼的telnet/ssh服務(wù);
3)感染后會(huì)向盒子上傳攻擊代碼����,對(duì)遠(yuǎn)程目標(biāo)IP發(fā)起DDoS進(jìn)攻���,進(jìn)攻種類以未知UDP流量和SYN_ACK類的連接數(shù)攻擊為主�,攻擊目標(biāo)多為國(guó)外游戲類網(wǎng)站IP����,目標(biāo)經(jīng)常變換,部分蠕蟲(chóng)會(huì)發(fā)起DNS遞歸攻擊�,由于域名的前綴不斷變化,導(dǎo)致DNS不斷遞歸查詢��,導(dǎo)致運(yùn)營(yíng)商主DNS掛死;
4)內(nèi)網(wǎng)之間會(huì)有傳染特性��,一個(gè)存在漏洞的設(shè)備被攻破���,同網(wǎng)段內(nèi)有類似漏洞的盒子將不可幸免;
5)連接數(shù)攻擊強(qiáng)度較大,一個(gè)設(shè)備會(huì)帶來(lái)數(shù)萬(wàn)會(huì)話����,造成網(wǎng)絡(luò)出口NAT�、IPS等會(huì)話敏感設(shè)備CPU飆升��,甚至連接中斷��,存在眾多半開(kāi)連接��,溯源困難�����。
在如此敏感時(shí)刻�����,而且已經(jīng)有省級(jí)運(yùn)營(yíng)商被襲擊�,廣電和電信運(yùn)營(yíng)商做安全保障的兄弟們,擔(dān)子確實(shí)有點(diǎn)重!不說(shuō)已經(jīng)預(yù)料之中的加班加點(diǎn)安全保障�����,相關(guān)排障預(yù)警工作量還得加大�。
廣電總局十九大安播電視電話會(huì)
不過(guò)針對(duì)此蠕蟲(chóng)病毒,相關(guān)專業(yè)機(jī)構(gòu)也提醒大家做好以下工作���,靜待安全公司跟進(jìn)分析結(jié)果:
1)對(duì)內(nèi)網(wǎng)telnet/ssh服務(wù)進(jìn)行弱密碼掃描�,存在類似問(wèn)題的抓緊修改密碼(密碼安全性低,甚至使用默認(rèn)密碼的要上點(diǎn)心啦);
2)部分機(jī)頂盒廠家已經(jīng)獲知此項(xiàng)漏洞����,并推出升級(jí)包,請(qǐng)聯(lián)系他們獲取升級(jí)包��,主動(dòng)進(jìn)行全網(wǎng)升級(jí)(因?yàn)閟hijiuda���,現(xiàn)在運(yùn)營(yíng)商基本采取了物理封網(wǎng)方式����,這個(gè)升級(jí)看起來(lái)是不是有點(diǎn)難以進(jìn)行?);
3)有條件的網(wǎng)絡(luò)��,可以先在內(nèi)網(wǎng)暫時(shí)過(guò)濾TCP22/23端口服務(wù)�,直到安全公司提醒攻擊停止(是否有效,安全工程師可以判斷);
4)如遇網(wǎng)絡(luò)異常變慢掉線��,請(qǐng)聯(lián)系出口設(shè)備廠家排查(不能掉以輕心)���。
最后�,以湖南有線邵東網(wǎng)絡(luò)有限公司郭軍旗投稿的《七律·湖南有線人》,預(yù)祝奮戰(zhàn)在shijiuda安全播出第一線的運(yùn)營(yíng)商同仁們��,旗開(kāi)得勝!
微信掃一掃
