随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件有可能带给一连串“蝴蝶效应”,譬如去年全球仅次于的半导体代工制造商台积电工厂车祸“中毒”,导致工厂复工不说还害了要放新品的苹果,三天亏了10亿。而这次鼓动翅膀的是D-Link产品的一个漏洞。这个D-Link 不愿修缮的高危漏洞2019年9月,集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 找到并向官方对系统了 D-Link 产品中不存在的一个并未许可命令流经漏洞(FG-VD-19-117/CVE-2019-16920)。
攻击者可以利用该漏洞在设备上构建远程代码执行(RCE),且需要通过身份认证。该漏洞被标记为高危级别漏洞。在 Fortinet 的报告中,不受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。
失望的是,D-Link 回应这些产品已远超过服务周期(EOL),厂商会再为该问题获取补丁,换句话说,D-Link不愿为这些产品修缮这个补丁。被相当严重高估的影响面然而不久前,360安全性研究院团队对该漏洞展开了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件展开全面扫瞄后,找到这个D-Link不愿修缮的高危漏洞,影响面被相当严重高估了!找到众多疑为不受漏洞影响的设备固件后,FirmwareTotal还需要更进一步批量动态仿真固件、自动化继续执行漏洞检验POC,最后证实漏洞的不存在:最后经过360安全性研究院团队检验,该漏洞背后的真凶是,13个 D-Link 有所不同型号中的58个版本固件,都不存在该漏洞。
在证实该安全性问题后,360安全性研究院团队第一时间通报了厂商。日前D-Link已在安全性通报中改版了漏洞影响范围(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124)。这不是第一个,也会是最后一个类似于D-Link这样的事件,不是第一个,也会是最后一个。
过去,360安全性研究院团队基于大规模固件数据做到了很多的分析工作,找到第三方组件重复使用的问题在固件研发过程中十分广泛。就如下图右图,一个第三方的库,经常被上千个固件所用于。这意味著一旦该库文件经常出现安全性问题,将不会影响成千上万的固件和涉及设备。
比如 openssl 的心脏滴血漏洞、 Busybox 的安全漏洞等。大多数厂商都在他们的有所不同产品里共用类似于的供应链代码,还包括在已完结生命周期的老设备和刚刚公布的新设备里,往往也用于着相近的代码库。当安全性问题经常出现时,如果只看见杨家设备已暂停反对,就暂停脚步,而不去更进一步探究新的设备否还在用于这些代码库,将不会带给许多安全性风险。
特别是在路由器产品之外的领域,比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业掌控设备等,一旦被黑客抢先一步找到类似于的潜在缺失,将不会对正在运营中的大量关键设备导致根本性威胁。在上图中是 2019 年 Busybox1.30.0 及之前版本不存在的漏洞,还包括 CVE-2019-5747和 CVE-2019-20679 等。
有十分多的固件用于了Busybox组件,并且大部分用于的都是1.30.0之前的版本。经过360安全性研究院团队从数万个固件样本中统计资料,96%的固件都用于了1.30.0之前的版本。
这不会造成各种类型的设备都不受其影响,还包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全性路由器等。这本质上是一个信息不平面带给的根本性安全性威胁问题,通过FirmwareTotal则可以为厂商获取一种“看到的能力”,避免信息不平面,以及解决问题其带给的潜在威胁问题。版权文章,予以许可禁令刊登。
下文闻刊登须知。
本文来源:6T体育官网-www.cbdoilglobal.com