freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

这个D-Link不愿修复的高危漏洞,影响面被严重低估了!
2019-12-03 11:17:30
所属地 海外

随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件可能带来一连串“蝴蝶效应”,譬如去年全球最大的半导体代工制造商台积电工厂意外“中毒”,造成工厂停工不说还连累了要发新品的苹果,三天亏了10亿。而这次煽动翅膀的是D-Link产品的一个漏洞。

这个D-Link 不愿修复的高危漏洞

2019年9月,集成自动化网络安全解决方案商Fortinet的 FortiGuard Labs 发现并向官方反馈了 D-Link 产品中存在的一个未授权命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻击者可以利用该漏洞在设备上实现远程代码执行(RCE),且无需通过身份认证。该漏洞被标记为高危级别漏洞。

111.png

在 Fortinet 的报告中,受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。

遗憾的是,D-Link 表示这些产品已超出服务周期(EOL),厂商不会再为该问题提供补丁,换句话说,D-Link不愿为这些产品修复这个补丁。

被严重低估的影响面

然而不久前,360安全研究院团队对该漏洞进行了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件进行全面扫描后,发现这个D-Link不愿修复的高危漏洞,影响面被严重低估了!

发现众多疑似受漏洞影响的设备固件后,FirmwareTotal还能够进一步批量动态模拟固件、自动化执行漏洞验证POC,最终确认漏洞的存在:

33333.png最终经过360安全研究院团队验证,该漏洞背后的真相是,13个 D-Link 不同型号中的58个版本固件,都存在该漏洞。

型号 受影响版本
DIR-825-REV.C 3.00
3.00b32
3.01
3.01.B12
3.02
DIR-835-REV.A 102B12
1.03
1.03B01
103B02Beta01
1.03b05
1.04
1.04b24
104B02Beta01
DIR-615-REV.I 9.03
9.04NAB02
DIR-655-REV.C 3.00B10
3.01B07
3.02
3.02.B05
DGL-5500-REV.A 1.01
1.10B04
1.11B03
1.12B05
1.13.B04
DHP-1565 1_1-00b35
100b28
1.01
101b13
DIR-866L-REV.A 1.00.B07
1.01.B04
1.02.B11
1.03.B01
1.03B04
DAP-1533 1.01B
1.02
1.02B
DIR-652-REV.B 2.00B40
DIR-855L 1.00
1.01
1.03B01
DIR-330 1.1
1.12
1.22B04
1.23B05
1.23B07
123B08
1.23B09
1.23B14
1.23B18
DIR-130 1.1
1.12
1.23
1.23B18
123b16
1.23B20
DIR-862 1.00
1.01
1.02

在确认该安全问题后,360安全研究院团队第一时间通报了厂商。日前D-Link已在安全通报中更新了漏洞影响范围(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124)。

这不是第一个,也不会是最后一个

类似D-Link这样的事件,不是第一个,也不会是最后一个。

过去,360安全研究院团队基于大规模固件数据做了很多的分析工作,发现第三方组件重复使用的问题在固件开发过程中非常普遍。

就如下图所示,一个第三方的库,常常被上千个固件所使用。这意味着一旦该库文件出现安全问题,将会影响成千上万的固件和相关设备。比如 openssl的**滴血漏洞、Busybox 的安全漏洞等。

4444.png

大多数厂商都在他们的不同产品里共用类似的供应链代码,包括在已结束生命周期的老设备和刚发布的新设备里,往往也使用着相似的代码库。

当安全问题出现时,如果只看到老设备已停止支持,就停止脚步,而不去进一步探究新设备是否还在使用这些代码库,将会带来许多安全风险。

特别是在路由器产品之外的领域,比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业控制设备等,一旦被黑客抢先一步发现类似的潜在缺陷,将会对正在运行中的大量关键设备造成重大威胁。

555.png

在上图中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox组件,并且大部分使用的都是1.30.0之前的版本。经过360安全研究院团队从数万个固件样本中统计,96%的固件都使用了1.30.0之前的版本。

这会导致各种类型的设备都受其影响,包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全路由器等。

这本质上是一个信息不对称带来的重大安全威胁问题,通过FirmwareTotal则可以为厂商提供一种“看见的能力”,消除信息不对称,以及解决其带来的潜在威胁问题。


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者