Juniper路由器遭Mirai殭屍網路攻擊,預設密碼成最大破口
攻擊細節
根據Juniper的安全公告,自2024年12月11日起,多名客戶回報他們的Session Smart Network(SSN)平台出現可疑行為。調查發現,這些遭受攻擊的設備都有一個共同特點:仍在使用原廠預設密碼。
Mirai變種惡意程式會主動掃描使用預設密碼的路由器,一旦成功入侵,這些設備就會被用來發動DDoS攻擊,向目標網站發送大量垃圾流量。除此之外,根據過往案例,Mirai還可能傳播加密貨幣挖礦程式,或進行點擊詐欺等惡意活動。
可疑活動指標
面對此威脅,網路管理員應密切關注幾個關鍵的可疑活動指標。這包括對23、2323、80、8080等常見Layer 4端口的掃描行為,以及SSH服務出現的疑似暴力破解登入失敗紀錄。此外,若發現設備對外流量突然激增,可能表示設備已被納入DDoS攻擊網路。設備異常重啟或運作不穩定,以及出現來自已知惡意IP位址的SSH連線,也都是重要的警訊。
強化防護措施
針對這波攻擊,Juniper強調預防勝於治療的重要性。首要之務是立即檢視並變更所有網路設備的預設密碼,確保使用高強度的獨特密碼。同時,應建立定期韌體更新機制,確保設備始終運行最新版本,以修補已知的安全漏洞。
在網路監控方面,組織應建立完整的日誌檢查機制,定期審視存取紀錄中的異常活動。配合自動警報系統的部署,可在第一時間發現並處理可疑活動。同時,透過入侵偵測系統的持續監控,搭配防火牆阻擋未經授權的存取,可建立起多層次的防護網。
若不幸發現設備已遭感染,Juniper建議採取最謹慎的處理方式:重新安裝系統映像檔。這是因為無法確定設備已遭到哪些更改或資料外洩,重新安裝是確保系統安全的最可靠方法。
適當的密碼管理對網路安全至關重要。尤其是物聯網設備如路由器、攝影機等,經常因使用預設密碼而成為Mirai等惡意程式的目標。組織在部署網路設備時,應將更改預設密碼列為首要任務,並建立完整的安全管理機制,方能有效降低遭受攻擊的風險。
