信息來源:4hou
隨著網(wǎng)絡(luò)空間的規(guī)模和行動不斷擴(kuò)大,其與日常生活日益交織。往往在網(wǎng)絡(luò)空間一起微小的安全事件可能帶來一連串“蝴蝶效應(yīng)”,譬如去年全球最大的半導(dǎo)體代工制造商臺積電工廠意外“中毒”,造成工廠停工不說還連累了要發(fā)新品的蘋果,三天虧了10億。而這次煽動翅膀的是D-Link產(chǎn)品的一個漏洞。
這個D-Link 不愿修復(fù)的高危漏洞
2019年9月,集成自動化網(wǎng)絡(luò)安全解決方案商Fortinet 的 FortiGuard Labs 發(fā)現(xiàn)并向官方反饋了 D-Link 產(chǎn)品中存在的一個未授權(quán)命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻擊者可以利用該漏洞在設(shè)備上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE),且無需通過身份認(rèn)證。該漏洞被標(biāo)記為高危級別漏洞。
在 Fortinet 的報告中,受此漏洞影響的設(shè)備型號有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。
遺憾的是,D-Link 表示這些產(chǎn)品已超出服務(wù)周期(EOL),廠商不會再為該問題提供補(bǔ)丁,換句話說,D-Link不愿為這些產(chǎn)品修復(fù)這個補(bǔ)丁。
被嚴(yán)重低估的影響面
然而不久前,360安全研究院團(tuán)隊(duì)對該漏洞進(jìn)行了深入分析,提煉出漏洞識別模式后,通過自研的 FirmwareTotal 對全網(wǎng)二十多萬的固件進(jìn)行全面掃描后,發(fā)現(xiàn)這個D-Link不愿修復(fù)的高危漏洞,影響面被嚴(yán)重低估了!
發(fā)現(xiàn)眾多疑似受漏洞影響的設(shè)備固件后,F(xiàn)irmwareTotal還能夠進(jìn)一步批量動態(tài)模擬固件、自動化執(zhí)行漏洞驗(yàn)證POC,最終確認(rèn)漏洞的存在:
最終經(jīng)過360安全研究院團(tuán)隊(duì)驗(yàn)證,該漏洞背后的真相是,13個 D-Link 不同型號中的58個版本固件,都存在該漏洞。
型號
受影響版本
在確認(rèn)該安全問題后,360安全研究院團(tuán)隊(duì)第一時間通報了廠商。日前D-Link已在安全通報中更新了漏洞影響范圍(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124)。
這不是第一個,也不會是最后一個
類似D-Link這樣的事件,不是第一個,也不會是最后一個。
過去,360安全研究院團(tuán)隊(duì)基于大規(guī)模固件數(shù)據(jù)做了很多的分析工作,發(fā)現(xiàn)第三方組件重復(fù)使用的問題在固件開發(fā)過程中非常普遍。
就如下圖所示,一個第三方的庫,常常被上千個固件所使用。這意味著一旦該庫文件出現(xiàn)安全問題,將會影響成千上萬的固件和相關(guān)設(shè)備。比如 openssl 的心臟滴血漏洞、 Busybox 的安全漏洞等。
大多數(shù)廠商都在他們的不同產(chǎn)品里共用類似的供應(yīng)鏈代碼,包括在已結(jié)束生命周期的老設(shè)備和剛發(fā)布的新設(shè)備里,往往也使用著相似的代碼庫。
當(dāng)安全問題出現(xiàn)時,如果只看到老設(shè)備已停止支持,就停止腳步,而不去進(jìn)一步探究新設(shè)備是否還在使用這些代碼庫,將會帶來許多安全風(fēng)險。
特別是在路由器產(chǎn)品之外的領(lǐng)域,比如自動駕駛汽車、智能醫(yī)療設(shè)備、關(guān)鍵基礎(chǔ)設(shè)施設(shè)備、工業(yè)控制設(shè)備等,一旦被黑客搶先一步發(fā)現(xiàn)類似的潛在缺陷,將會對正在運(yùn)行中的大量關(guān)鍵設(shè)備造成重大威脅。
在上圖中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox組件,并且大部分使用的都是1.30.0之前的版本。經(jīng)過360安全研究院團(tuán)隊(duì)從數(shù)萬個固件樣本中統(tǒng)計,96%的固件都使用了1.30.0之前的版本。
這會導(dǎo)致各種類型的設(shè)備都受其影響,包括與GE醫(yī)療心電圖分析系統(tǒng)密切相關(guān)的串口設(shè)備服務(wù)器、智能樓宇的自動化控制系統(tǒng)設(shè)備、工控系統(tǒng)中的RTU控制器以及工業(yè)安全路由器等。
這本質(zhì)上是一個信息不對稱帶來的重大安全威脅問題,通過FirmwareTotal則可以為廠商提供一種“看見的能力”,消除信息不對稱,以及解決其帶來的潛在威脅問題。