維基解密最新發(fā)布的CIA黑客工具中包含了CherryBlossom項(xiàng)目，該項(xiàng)目凸顯了路由器的安全問(wèn)題，包括缺乏固件簽名方面的驗(yàn)證等。 　　泄露的CIA CherryBlossom項(xiàng)目的信息詳細(xì)說(shuō)明了該機(jī)構(gòu)可能濫用自定義固件的路由器安全問(wèn)題。 　　“這些設(shè)備是中間人(man-in-the-middle，MitM)攻擊的理想場(chǎng)所，因?yàn)樗鼈兛梢院苋菀椎乇O(jiān)視、控制和操縱連接用戶(hù)的internet流量。通過(guò)改變用戶(hù)和internet服務(wù)之間的數(shù)據(jù)流，受感染的設(shè)備可以將惡意內(nèi)容注入到流中，來(lái)利用目標(biāo)用戶(hù)計(jì)算機(jī)上的應(yīng)用程序或操作系統(tǒng)中的漏洞”，維基解密在一份博客文章中寫(xiě)道?！盁o(wú)線設(shè)備本身通過(guò)在其上植入自定義的CherryBlossom固件而受到損害;某些設(shè)備允許通過(guò)無(wú)線鏈路升級(jí)其固件，因此成功感染時(shí)不需要對(duì)設(shè)備進(jìn)行物理訪問(wèn)。” 　　固件路由器安全問(wèn)題 　　專(zhuān)家指出，CherryBlossom項(xiàng)目所利用的主要問(wèn)題是大量路由器不驗(yàn)證固件更新的數(shù)字簽名。 　　Rendition InfoSec LLC咨詢(xún)公司的創(chuàng)始人之一Jake Williams說(shuō)，比中情局的參與重要的是：“如何獲取數(shù)字簽名的固件能夠防止這種特定的攻擊?！? 　　“如果路由器沒(méi)有驗(yàn)證固件上的數(shù)字簽名，攻擊就很容易，加載自定義惡意固件簡(jiǎn)直不值一提”，Williams表示?！按蠖鄶?shù)路由器不驗(yàn)證簽名，您需要購(gòu)買(mǎi)企業(yè)級(jí)產(chǎn)品，大多數(shù)才會(huì)在固件更新前進(jìn)行簽名認(rèn)證。” 　　然而，Core Security的安全研究員Bobby Kuzma指出，企業(yè)級(jí)設(shè)備可能因不執(zhí)行固件簽名而存在路由器安全問(wèn)題。 　　“在企業(yè)級(jí)產(chǎn)品方面，大型路由器制造商已經(jīng)提供簽名固件的驗(yàn)證有一段時(shí)間了，問(wèn)題是默認(rèn)情況下大部分都沒(méi)有啟用，并且要求網(wǎng)絡(luò)管理員在現(xiàn)實(shí)中去做一些事情，”Kuzma表示。“思科和瞻博網(wǎng)絡(luò)工具都依賴(lài)于MD5哈希算法，MD5被破解為散列算法，其已有幾種已知和可行的技術(shù)，用于從不同的二進(jìn)制內(nèi)容生成相同的散列?！? 　　Fidelis Cybersecurity的威脅系統(tǒng)經(jīng)理John Bambenek表示，如果一個(gè)惡意的威脅源可以控制路由器，他們能夠控制一切。 　　“我可以輕松地將DNS請(qǐng)求重定向到一臺(tái)我所控制的服務(wù)器，這意味著我知道您查找的每個(gè)域名，我可以通過(guò)我控制的設(shè)備重新路由所有流量，這意味著我可以設(shè)置一個(gè)竊聽(tīng)?！盉ambenek表示：“我可以將URL和密碼發(fā)送到中央服務(wù)器，實(shí)質(zhì)上，它將您的家庭路由器變成一個(gè)情報(bào)監(jiān)聽(tīng)站點(diǎn)?！? 　　路由器安全問(wèn)題遠(yuǎn)遠(yuǎn)不止固件簽名 　　Williams指出，加載自定義固件甚至不需要像CherryBlossom項(xiàng)目一樣進(jìn)行類(lèi)似的攻擊。 　　“要安裝固件，他們需要以管理員權(quán)限訪問(wèn)路由器。如果他們有，他們可以修改上游信息諸如DNS(以及許多型號(hào)中的iptables)和在許多沒(méi)有任何固件型號(hào)上捕獲的流量。如果我控制你的DNS，我可以MitM任何東西”，Williams通過(guò)特推表示?！八孕枰⒁獾囊稽c(diǎn)是，通過(guò)管理員權(quán)限訪問(wèn)(中情局所需要這個(gè))，沒(méi)有CIA級(jí)別預(yù)算的攻擊者可以實(shí)現(xiàn)大部分相同的目標(biāo)?！? 　　Kuzma表示，自定義固件允許附加的隱身以及“各種不是標(biāo)準(zhǔn)的有趣功能”。 　　“通過(guò)植入體，您可以靜默重定向流量，在流量路由器時(shí)捕獲流量，甚至使用路由器本身作為樞紐點(diǎn)，將命令流量中繼到網(wǎng)絡(luò)中其他地方的植入體，并且不會(huì)以以下形式提出懷疑： 日志的遠(yuǎn)程訪問(wèn)”，Kuzma說(shuō)。 　　Varonis系統(tǒng)公司現(xiàn)場(chǎng)工程副總裁Ken Spinner表示，路由器安全問(wèn)題應(yīng)該往往落在那些擁有“先出貨，晚點(diǎn)再升級(jí)”心態(tài)的制造商身上，盡管許多人——特別是消費(fèi)者——永遠(yuǎn)不會(huì)更新路由器固件。 　　“這樣的攻擊強(qiáng)調(diào)了外圍將永遠(yuǎn)有漏洞——像許多舊有技術(shù)一樣，路由器并沒(méi)有考慮到安全性，我們必須更積極地規(guī)劃攻擊者突破了第一線防線以后的辦法：因此需要有及時(shí)的安全控制來(lái)監(jiān)控和檢測(cè)入侵者”，Spinner稱(chēng)?！叭绻诳褪褂孟馛herryBlossom這樣的工具來(lái)掃描諸如密碼之類(lèi)的信息，那么您將需要在內(nèi)部進(jìn)行安全防御，以確保用戶(hù)帳戶(hù)和對(duì)敏感信息的訪問(wèn)受到監(jiān)控，以便您知道用戶(hù)何時(shí)開(kāi)始行為可疑或者有帳戶(hù)被盜用?！?/div>