0
| 本文作者: 木子 | 2019-12-02 21:04 |
隨著網絡空間的規模和行動不斷擴大,其與日常生活日益交織。往往在網絡空間一起微小的安全事件可能帶來一連串“蝴蝶效應”,譬如去年全球最大的半導體代工制造商臺積電工廠意外“中毒”,造成工廠停工不說還連累了要發新品的蘋果,三天虧了10億。而這次煽動翅膀的是D-Link產品的一個漏洞。
2019年9月,集成自動化網絡安全解決方案商Fortinet 的 FortiGuard Labs 發現并向官方反饋了 D-Link 產品中存在的一個未授權命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻擊者可以利用該漏洞在設備上實現遠程代碼執行(RCE),且無需通過身份認證。該漏洞被標記為高危級別漏洞。
在 Fortinet 的報告中,受此漏洞影響的設備型號有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。
遺憾的是,D-Link 表示這些產品已超出服務周期(EOL),廠商不會再為該問題提供補丁,換句話說,D-Link不愿為這些產品修復這個補丁。
然而不久前,360安全研究院團隊對該漏洞進行了深入分析,提煉出漏洞識別模式后,通過自研的 FirmwareTotal 對全網二十多萬的固件進行全面掃描后,發現這個D-Link不愿修復的高危漏洞,影響面被嚴重低估了!
發現眾多疑似受漏洞影響的設備固件后,FirmwareTotal還能夠進一步批量動態模擬固件、自動化執行漏洞驗證POC,最終確認漏洞的存在:
最終經過360安全研究院團隊驗證,該漏洞背后的真相是,13個 D-Link 不同型號中的58個版本固件,都存在該漏洞。
在確認該安全問題后,360安全研究院團隊第一時間通報了廠商。日前D-Link已在安全通報中更新了漏洞影響范圍(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124)。
類似D-Link這樣的事件,不是第一個,也不會是最后一個。
過去,360安全研究院團隊基于大規模固件數據做了很多的分析工作,發現第三方組件重復使用的問題在固件開發過程中非常普遍。
就如下圖所示,一個第三方的庫,常常被上千個固件所使用。這意味著一旦該庫文件出現安全問題,將會影響成千上萬的固件和相關設備。比如 openssl 的心臟滴血漏洞、 Busybox 的安全漏洞等。
大多數廠商都在他們的不同產品里共用類似的供應鏈代碼,包括在已結束生命周期的老設備和剛發布的新設備里,往往也使用著相似的代碼庫。
當安全問題出現時,如果只看到老設備已停止支持,就停止腳步,而不去進一步探究新設備是否還在使用這些代碼庫,將會帶來許多安全風險。
特別是在路由器產品之外的領域,比如自動駕駛汽車、智能醫療設備、關鍵基礎設施設備、工業控制設備等,一旦被黑客搶先一步發現類似的潛在缺陷,將會對正在運行中的大量關鍵設備造成重大威脅。
在上圖中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox組件,并且大部分使用的都是1.30.0之前的版本。經過360安全研究院團隊從數萬個固件樣本中統計,96%的固件都使用了1.30.0之前的版本。
這會導致各種類型的設備都受其影響,包括與GE醫療心電圖分析系統密切相關的串口設備服務器、智能樓宇的自動化控制系統設備、工控系統中的RTU控制器以及工業安全路由器等。
這本質上是一個信息不對稱帶來的重大安全威脅問題,通過FirmwareTotal則可以為廠商提供一種“看見的能力”,消除信息不對稱,以及解決其帶來的潛在威脅問題。
