集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

这个D-Link不愿修复的高危漏洞,影响面被严重低估了!

2019-12-03

随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件可能带来一连串“蝴蝶效应”,譬如去年全球最大的半导体代工制造商台积电工厂意外“中毒”,造成工厂停工不说还连累了要发新品的苹果,三天亏了10亿。这次煽动翅膀的是D-Link产品的一个漏洞。


2019年9月,集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 发现并向官方反馈了 D-Link 产品中存在的一个未授权命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻击者可以利用该漏洞在设备上实现远程代码执行(RCE),且无需通过身份认证。该漏洞被标记为高危级别漏洞。

 

在 Fortinet 的报告中,受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652和 DHP-1565。





遗憾的是,D-Link 表示这些产品已超出服务周期(EOL),厂商不会再为该问题提供补丁,换句话说,D-Link不愿为这些产品修复这个补丁。


然而不久前,360安全研究院团队对该漏洞进行了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件进行全面扫描后,发现这个D-Link不愿修复的高危漏洞,影响面被严重低估了!

 


    然而不久前,360安全研究院团队对该漏洞进行了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件进行全面扫描后,发现这个D-Link不愿修复的高危漏洞,影响面被严重低估了!




发现众多疑似受漏洞影响的设备固件后,FirmwareTotal还能够进一步批量动态模拟固件、自动化执行漏洞验证POC,最终确认漏洞的存在:  




最终经过360安全研究院团队验证,该漏洞背后的真相是,13个 D-Link 不同型号中的58个版本固件,都存在该漏洞。


型号

受影响版本

DIR-825-REV.C

3.00

3.00b32

3.01

3.01.B12

3.02

DIR-835-REV.A

102B12

1.03

1.03B01

103B02Beta01

1.03b05

1.04

1.04b24

104B02Beta01

DIR-615-REV.I

9.03

9.04NAB02

DIR-655-REV.C

3.00B10

3.01B07

3.02

3.02.B05

DGL-5500-REV.A

1.01

1.10B04

1.11B03

1.12B05

1.13.B04

DHP-1565

1_1-00b35

100b28

1.01

101b13

DIR-866L-REV.A

1.00.B07

1.01.B04

1.02.B11

1.03.B01

1.03B04

DAP-1533

1.01B

1.02

1.02B

DIR-652-REV.B

2.00B40

DIR-855L

1.00

1.01

1.03B01

DIR-330

1.1

1.12

1.22B04

1.23B05

1.23B07

123B08

1.23B09

1.23B14

1.23B18

DIR-130

1.1

1.12

1.23

1.23B18

123b16

1.23B20

DIR-862

1.00

1.01

1.02

 

在确认该安全问题后,360安全研究院团队第一时间通报了厂商。日前D-Link已在安全通报中更新了漏洞影响范围。



类似D-Link这样的事件,不是第一个,也不会是最后一个。


过去,360安全研究院团队基于大规模固件数据做了很多的分析工作,发现第三方组件重复使用的问题在固件开发过程中非常普遍。


就如下图所示,一个第三方的库,常常被上千个固件所使用。这意味着一旦该库文件出现安全问题,将会影响成千上万的固件和相关设备。比如 openssl 的心脏滴血漏洞、 Busybox的安全漏洞等。




大多数厂商都在他们的不同产品里共用类似的供应链代码,包括在已结束生命周期的老设备和刚发布的新设备里,往往也使用着相似的代码库。


当安全问题出现时,如果只看到老设备已停止支持,就停止脚步,而不去进一步探究新设备是否还在使用这些代码库,将会带来许多安全风险。


特别是在路由器产品之外的领域,比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业控制设备等,一旦被黑客抢先一步发现类似的潜在缺陷,将会对正在运行中的大量关键设备造成重大威胁。


 




 

在上图中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox组件,并且大部分使用的都是1.30.0之前的版本。经过360安全研究院团队从数万个固件样本中统计,96%的固件都使用了1.30.0之前的版本。


这会导致各种类型的设备都受其影响,包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全路由器等。


这本质上是一个信息不对称带来的重大安全威胁问题,通过FirmwareTotal则可以为厂商提供一种“看见的能力”,消除信息不对称,以及解决其带来的潜在威胁问题。


在这里欢迎各个IoT设备厂商与我们建立合作,另外如果您对于 FirmwareTotal 有任何疑问,也欢迎随时与我们联系 iot-fw-sec@360.cn。