文章总结： 文档指出2024至2025年安全设备成为APT攻击首选突破口，攻击者利用零日漏洞入侵后在设备固件层建立持久驻留，而传统打补丁无法解决已潜伏的后门问题。关键发现是安全监控体系对网络设备内部状态存在盲区，可操作建议包括实施固件完整性校验、配置审计基线化、设备日志接入安全平台及定期资产盘点。 综合评分： 87 文章分类： 漏洞分析,应急响应,威胁情报,安全建设,安全运营

谁来保护你的安全设备？

原创

黑屋运维 黑屋运维

漕河泾小黑屋

2026年3月27日 15:41 上海

2024年到2025年，安全行业发生了一件很讽刺的事：安全设备本身成了最大的攻击入口。

Ivanti Connect Secure VPN网关，从2023年底开始被中国关联APT组织UNC5221利用零日漏洞大规模渗透，波及台湾、日本、韩国等地的制造业、政府、金融、半导体等关键行业。CISA直接下令——48小时内，所有联邦机构必须断开Ivanti产品。

Cisco ASA防火墙，2024年4月被曝ArcaneDoor攻击活动，攻击者用两个零日漏洞拿下了防火墙的控制权。到2025年9月，CISA又发紧急指令，因为发现APT至少从2024年起就能修改ASA的ROM固件。

Fortinet FortiManager，2024年底被曝CVE-2024-47575，缺失身份验证直接导致系统完全失陷。

Palo Alto PAN-OS，2024年底CVE-2024-0012身份验证不当加CVE-2024-9474命令注入，组合利用可直接拿下管理面。

这个名单还可以继续拉长。Citrix NetScaler、Barracuda邮件安全网关、守内安SPAM SQR……过去两年里，几乎所有主流边界安全设备厂商都被打穿过。

奇安信威胁情报中心2024年中报告里有一句话总结得很到位：往年零日漏洞主要集中在微软、谷歌、苹果三家，2024年这个格局被打破了，空缺部分被网络边界设备自身漏洞填补。

说白了就是：你花大价钱买来保护自己的设备，现在成了攻击者进来的门。

而且这不是偶发的漏洞利用。从已经披露的案例来看，国家级APT组织正在系统性地研究和囤积边界设备的零日漏洞，把VPN网关、防火墙、邮件安全网关当作首选突破口。原因也不复杂——这些设备常年暴露在互联网上，运行专有操作系统，没有EDR覆盖，大部分甲方的安全团队对它们的内部运行状态几乎没有可见性。打进去之后还特别好藏，因为没人查。

然而面对这波针对安全设备本身的攻击潮，国内安全行业的反应是什么？

几乎没有。

厂商发了补丁通告，甲方打了补丁（也许），然后继续照旧。没有人追问一个更根本的问题：补丁打完了，你怎么确认设备没被动过手脚？固件是干净的吗？配置还是你自己配的吗？有没有人在设备里留了后门？

不只是漏洞的问题

很多人把上面这些事件理解为”安全设备也有漏洞，打补丁就好了”。这个理解太浅了。

看看Salt Typhoon干了什么。2025年8月NSA和CISA的联合公告披露，这个APT组织从2021年开始渗透全球电信运营商的骨干路由器——不是利用完就走，是住进去了。在路由器里驻留了四年。

他们在设备上做的事包括：通过SNMP和SSH操控路由器命令行；读取和修改路由配置；配置端口镜像抓取所有过境流量；建GRE和IPsec隧道把数据外传；用Cisco Guest Shell容器藏工具。做完之后清日志、改回配置，像没来过一样。

APT28（俄罗斯GRU）也是类似的套路。2023年CISA和英国NCSC联合披露，APT28用SNMP漏洞在Cisco路由器上部署了Jaguar Tooth恶意软件——一个专门为路由器写的后门。

ArcaneDoor更进一步——攻击者直接修改了Cisco ASA的ROM。这意味着即使你重装系统、恢复出厂设置，后门依然在。

这些攻击的共同特征是：攻击者不是利用完漏洞就走，而是在设备固件和配置层建立持久的、难以检测的驻留。 打补丁解决的是入口问题，不解决”人家已经进来了还没走”的问题。

而大部分甲方在设备被曝漏洞后的应急动作是：打补丁，完事。有几家做了固件校验？有几家dump了内存做取证分析？有几家检查了设备上有没有多出来的SPAN配置、隧道、用户账号？

你的安全监控体系有一个洞

把话说得更直接一点。

你的终端全覆盖了EDR。你的服务器装了HIDS。你的应用前面挂了WAF。你的日志都接进了SIEM。感觉挺完整的对吧？

但你的出口防火墙上没有EDR。你的VPN网关上没有EDR。你的核心路由器上没有EDR。你的邮件安全网关上没有EDR。你的负载均衡上没有EDR。

这些设备跑的是Cisco IOS、FortiOS、PAN-OS、华为VRP、H3C Comware——专有系统，不支持装第三方安全代理。你的整个安全监控体系，对这些设备的内部状态基本是瞎的。

更要命的是职责归属。网络设备归网络组管，安全团队不碰。网络组关心可用性和性能，安全不是他们的KPI。安全团队关心终端和应用，网络设备不在视野里。两边各看各的，中间这一层——谁也不管。

CISA在网络基础设施安全指南里说了一句很扎心的话：网络设备在安全事件的调查和恢复中经常被忽视。

“经常被忽视”。用来描述一个承载全公司所有流量、而且正在被APT系统性攻击的关键基础设施。

几个不得不面对的问题

你知道自己有多少网络设备吗？

别笑。

总部的核心设备，大概率有人管。但分支机构呢？远程站点呢？仓库、工厂、营业网点呢？很多组织的分支节点上跑着各种消费级路由器和小型防火墙，型号五花八门，固件版本不明，有的厂商早就EOL了还在跑。这些设备不在资产管理系统里，不在漏洞扫描范围内，更不在安全监控视野中。

而这些”边缘设备”恰恰是APT最喜欢的入口。Volt Typhoon长期利用Cisco和Netgear的小型路由器建立C2通道。2025年初曝光的PolarEdge僵尸网络，专门针对Cisco小型企业路由器、ASUS路由器、QNAP NAS这类设备。2025年曝光的Operation WrtHug，把全球数万台ASUS老旧路由器变成了恶意代理网络。

你不知道的设备，就是你防不住的设备。

你的设备固件是干净的吗？

这个问题大部分甲方从来没问过自己。

设备固件——就是设备上跑的操作系统——有没有跟厂商发布的原版一致？有没有被篡改？有没有被植入后门？

Cisco其实提供了一整套完整性验证工具：verify /md5做固件哈希校验，show software authenticity验数字签名，还能导出运行时内存的text段跟已知良好基线做比对。Cisco的取证指南里写得很清楚——如果你怀疑设备被入侵，第一件事不是重启，是在不改变设备状态的情况下收集证据。 重启会导致所有易失性信息不可恢复地丢失。

这些东西在Cisco官网公开了很多年。但在多少甲方的应急预案里写了”网络设备取证流程”？在多少安全团队的日常运营里有”定期固件校验”这个动作？

2025年9月CISA发紧急指令，要求联邦机构把所有Cisco ASA的内存dump提交取证的时候，很多做安全的人是懵的——原来网络设备取证是这么做的？原来ROM是可以被改的？原来需要dump内存？

不是技术做不到，是从来没想过要做。

你的设备配置还是你配的吗？

Salt Typhoon在路由器上做的很多操作，用设备正常的管理功能就能完成——加一条SPAN镜像规则，加一条静态路由，建一个GRE隧道，加一个SNMP用户。不需要漏洞利用，只要拿到管理权限就行。而很多设备的SNMP community string至今还是默认的”public”和”private”。

所以另一个必须回答的问题是：你的设备当前的运行配置，跟你定义的安全基线一致吗？有没有你不认识的配置项？

几个该重点关注的东西：

• 有没有你不认识的SPAN/RSPAN/ERSPAN端口镜像配置
• 有没有你不认识的GRE/IPsec/VXLAN隧道
• 有没有你不认识的静态路由
• 有没有你不认识的SNMP community string或用户
• 有没有你不认识的本地账号
• 日志配置有没有被改过——syslog目标地址变了没有、日志级别降了没有
• AAA认证配置有没有被动过

这些配置项如果出现了变化而你不知道，要么是运维的变更管理没做好，要么就是有人在你的设备上做了他想做的事。

你的设备日志接到安全平台了吗？

最后一个问题。你的SIEM里收了终端日志、服务器日志、应用日志，但你的网络设备的syslog和TACACS+日志呢？

很多甲方的网络设备日志要么没开，要么只存在设备本地buffer里（满了就覆盖），要么发到了网络组的NMS上但安全团队看不到。而攻击者在设备上做的第一件事往往就是关日志或者改日志配置——Salt Typhoon的标准操作流程里就包括这一步。

如果设备日志不在安全团队的视野里，那发生在设备上的任何异常行为——非工作时间的CLI登录、来自未授权IP的管理访问、异常的配置变更、隧道创建——安全团队都不会知道。

一个行业性的缺位

上面这些问题，从技术上没有一个是解决不了的。固件校验、配置审计、日志采集、变更检测——工具和方法都是现成的。

但现实是大部分甲方没在做。原因也很直白：

认知问题。 安全从业者的知识体系里，网络设备这块是严重欠缺的。大部分安全工程师没登录过路由器命令行，不清楚IOS的文件系统结构，不知道怎么做固件校验。整个行业的培训、认证、知识输出都集中在终端和应用层，网络设备安全的资料极少。

工具问题。 国际上Eclypsium在做网络设备固件安全，但国内几乎没见过采购案例。国内安全厂商的产品线里——NDR看流量、EDR看终端、漏扫扫端口——没有一个产品是设计来回答”你的防火墙固件有没有被人改过”这个问题的。

意愿问题。 没出过事。在大部分甲方的安全事件记录里，还没有”核心防火墙被植入后门”这种case。没出过事就没有动力投入。但Salt Typhoon在路由器里住了四年才被发现——你确定你的设备没问题，还是只是没发现？

这中间存在一个巨大的空白——不管是安全产品、安全服务还是安全研究，”甲方网络设备和安全设备自身的安全检测”这个方向几乎没有人在认真做。

做Web安全的人成千上万，研究终端恶意软件的也不少，但你去找一篇”甲方如何检测自己的防火墙有没有被APT植入后门”的深度技术文章——中文互联网上几乎找不到。

这本身就说明了问题。

所以？

2024到2025年，APT组织用实际行动完成了一次攻击范式的转移：从打应用、打终端，到打基础设施设备本身。VPN网关、防火墙、路由器、邮件安全网关——这些你花钱买来保护自己的东西，现在是攻击者最喜欢打的目标。

而安全行业的响应，还停留在”发CVE、打补丁、发通告”的循环里。

没有人在帮甲方回答那个最核心的问题：打完补丁之后，我怎么知道设备是干净的？

这个问题值得有人去认真回答。

参考来源： CISA Emergency Directive ED 25-03 (2025.9)；CISA/NSA联合公告AA25-239a (2025.8)；CISA Advisory AA23-108 APT28 Jaguar Tooth (2023)；Cisco IOS/IOS-XE Software Integrity Assurance；Cisco IOS Forensic Data Collection Procedures；奇安信《网络威胁2024年中报告》；安全内参《2024年全球零日漏洞利用七大趋势》；NIST SP 800-189r1 (2025)；多国联合 “Mitigation Strategies for Edge Devices” (2025.2)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漕河泾小黑屋 黑屋运维 黑屋运维《谁来保护你的安全设备？》