เมื่อวานนี้ FireEye รายงานเฟิร์มแวร์ SYNful Knock ที่ถูกติดตั้งบนเราท์เตอร์ของซิสโก้ วันนี้ทาง Zmap ก็ทดสอบสแกนอินเทอร์เน็ตหมดทั้ง IPv4 และพบว่ามีเครื่องที่ตอบแพ็กเก็ตของเฟิร์มแวร์นี้ทั้งหมด 79 เครื่องกระจายไปใน 19 ประเทศ ที่สำคัญคือในไทยนั้นพบเครื่องที่ตอบอยู่ 3 เครื่อง

ทีมงาน Zmap สร้างแพ็กเก็ต TCP SYN ที่มีค่า sequence เป็น 0xC123D และค่า acknowledgment เป็น 0x0000 โดยที่ค่า urgent pointer เป็น 0x0001 โดยปิดแฟลก urgent ซึ่งปกติหากปิดไว้ค่า urgent pointer จะไม่มีความหมาย

จากนั้นทีมงานรอรับเครื่องที่ตอบกลับด้วยการใช้ค่า acknowledgment เป็น 0xC123D เหมือนกัน ขณะที่เราท์เตอร์ทั่วไปจะตอบกลับด้วยเลขสุ่ม และค่า TCP options ถูกตั้งเป็น "02 04 05 b4 01 01 04 02 01 03 03 05"

เครื่องที่ตอบกลับตามเงื่อนไข อยู่ในสหรัฐฯ ถึง 25 เครื่อง มาจากผู้ให้บริการอินเทอร์เน็ตรายเดียวที่อยู่ทางตะวันออกของสหรัฐฯ (Zmap ไม่ระบุว่าเป็นใคร) ขณะที่เครื่องอื่นๆ กระจายไปทั่วโลก ในยุโรปและเลบานอนพบในบริษัทที่ให้บริการดาวเทียมในแอฟริกา

งานนี้ผู้ให้บริการอินเทอร์เน็ตคงต้องรีบสแกนเครือข่ายตัวเอง กับเอาเราท์เตอร์มาลงเฟิร์มแวร์ใหม่กันให้เรียบร้อยครับ

ที่มา - Zmap, ThreatPost