行業(yè)動(dòng)態(tài)

這個(gè)D-Link不愿修復(fù)的高危漏洞,影響面被嚴(yán)重低估了!

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-04    瀏覽次數(shù):
 

信息來源:4hou

隨著網(wǎng)絡(luò)空間的規(guī)模和行動(dòng)不斷擴(kuò)大,其與日常生活日益交織。往往在網(wǎng)絡(luò)空間一起微小的安全事件可能帶來一連串“蝴蝶效應(yīng)”,譬如去年全球最大的半導(dǎo)體代工制造商臺(tái)積電工廠意外“中毒”,造成工廠停工不說還連累了要發(fā)新品的蘋果,三天虧了10億。而這次煽動(dòng)翅膀的是D-Link產(chǎn)品的一個(gè)漏洞。

這個(gè)D-Link 不愿修復(fù)的高危漏洞

2019年9月,集成自動(dòng)化網(wǎng)絡(luò)安全解決方案商Fortinet 的 FortiGuard Labs 發(fā)現(xiàn)并向官方反饋了 D-Link 產(chǎn)品中存在的一個(gè)未授權(quán)命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻擊者可以利用該漏洞在設(shè)備上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE),且無需通過身份認(rèn)證。該漏洞被標(biāo)記為高危級(jí)別漏洞。

在 Fortinet 的報(bào)告中,受此漏洞影響的設(shè)備型號(hào)有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。

遺憾的是,D-Link 表示這些產(chǎn)品已超出服務(wù)周期(EOL),廠商不會(huì)再為該問題提供補(bǔ)丁,換句話說,D-Link不愿為這些產(chǎn)品修復(fù)這個(gè)補(bǔ)丁。

被嚴(yán)重低估的影響面

然而不久前,360安全研究院團(tuán)隊(duì)對(duì)該漏洞進(jìn)行了深入分析,提煉出漏洞識(shí)別模式后,通過自研的 FirmwareTotal 對(duì)全網(wǎng)二十多萬的固件進(jìn)行全面掃描后,發(fā)現(xiàn)這個(gè)D-Link不愿修復(fù)的高危漏洞,影響面被嚴(yán)重低估了!

發(fā)現(xiàn)眾多疑似受漏洞影響的設(shè)備固件后,F(xiàn)irmwareTotal還能夠進(jìn)一步批量動(dòng)態(tài)模擬固件、自動(dòng)化執(zhí)行漏洞驗(yàn)證POC,最終確認(rèn)漏洞的存在:

最終經(jīng)過360安全研究院團(tuán)隊(duì)驗(yàn)證,該漏洞背后的真相是,13個(gè) D-Link 不同型號(hào)中的58個(gè)版本固件,都存在該漏洞。

型號(hào)

受影響版本

在確認(rèn)該安全問題后,360安全研究院團(tuán)隊(duì)第一時(shí)間通報(bào)了廠商。日前D-Link已在安全通報(bào)中更新了漏洞影響范圍(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124)。

這不是第一個(gè),也不會(huì)是最后一個(gè)

類似D-Link這樣的事件,不是第一個(gè),也不會(huì)是最后一個(gè)。

過去,360安全研究院團(tuán)隊(duì)基于大規(guī)模固件數(shù)據(jù)做了很多的分析工作,發(fā)現(xiàn)第三方組件重復(fù)使用的問題在固件開發(fā)過程中非常普遍。

就如下圖所示,一個(gè)第三方的庫,常常被上千個(gè)固件所使用。這意味著一旦該庫文件出現(xiàn)安全問題,將會(huì)影響成千上萬的固件和相關(guān)設(shè)備。比如 openssl 的心臟滴血漏洞、 Busybox 的安全漏洞等。

大多數(shù)廠商都在他們的不同產(chǎn)品里共用類似的供應(yīng)鏈代碼,包括在已結(jié)束生命周期的老設(shè)備和剛發(fā)布的新設(shè)備里,往往也使用著相似的代碼庫。

當(dāng)安全問題出現(xiàn)時(shí),如果只看到老設(shè)備已停止支持,就停止腳步,而不去進(jìn)一步探究新設(shè)備是否還在使用這些代碼庫,將會(huì)帶來許多安全風(fēng)險(xiǎn)。

特別是在路由器產(chǎn)品之外的領(lǐng)域,比如自動(dòng)駕駛汽車、智能醫(yī)療設(shè)備、關(guān)鍵基礎(chǔ)設(shè)施設(shè)備、工業(yè)控制設(shè)備等,一旦被黑客搶先一步發(fā)現(xiàn)類似的潛在缺陷,將會(huì)對(duì)正在運(yùn)行中的大量關(guān)鍵設(shè)備造成重大威脅。

在上圖中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox組件,并且大部分使用的都是1.30.0之前的版本。經(jīng)過360安全研究院團(tuán)隊(duì)從數(shù)萬個(gè)固件樣本中統(tǒng)計(jì),96%的固件都使用了1.30.0之前的版本。

這會(huì)導(dǎo)致各種類型的設(shè)備都受其影響,包括與GE醫(yī)療心電圖分析系統(tǒng)密切相關(guān)的串口設(shè)備服務(wù)器、智能樓宇的自動(dòng)化控制系統(tǒng)設(shè)備、工控系統(tǒng)中的RTU控制器以及工業(yè)安全路由器等。

這本質(zhì)上是一個(gè)信息不對(duì)稱帶來的重大安全威脅問題,通過FirmwareTotal則可以為廠商提供一種“看見的能力”,消除信息不對(duì)稱,以及解決其帶來的潛在威脅問題。

 
 

上一篇:國外安全網(wǎng)站評(píng)選黑客最常用的13種工具

下一篇:Windows與Linux雙平臺(tái)無文件攻擊:PowerGhost挖礦病毒最新變種感染多省份