Tenable
一般而言,多個型號的家用路由器, 很可能因採用相同廠牌韌體,具有同樣的漏洞,而成為駭客發動攻擊的目標。例如,在2020年11月由資安媒體CyberNews揭露數款品牌的路由器存在後門漏洞,而有攻擊者藉此散布殭屍病毒Mirai的情況:這些廠牌包含Walmart獨家銷售的Jetstream,以及透過Amazon與eBay販賣的Wavlink。資安研究員發現,這些品牌路由器的共通之處,就是上述兩個品牌的路由器,都是中國業者Winstars生產,而存在相同的漏洞。
但這種多款路由器產品使用含有漏洞的韌體,而存在相同漏洞的情況最近又再度發生。研究人員發現橫跨數十個廠牌與ISP、影響數以百萬設備的重大漏洞,一旦攻擊者濫用,就能繞過網頁管理界面的身分驗證機制,而掌控路由器來發動攻擊,且被揭露不久已出現攻擊行動。
存在漏洞的路由器設備,共通點是採用同廠牌的韌體
在8月3日,弱點管理解決方案業者Tenable公布繞過驗證漏洞CVE-2021–20090的細節,此漏洞的CVSS風險層級達9.8分,影響19個廠牌、總共37款路由器設備,而這些設備的共同點,都是採用臺灣綜合接入設備(IAD)製造商智易科技(Arcadyan)的韌體。
智易科技成立於2003年,總部位於新竹科學園區,是仁寶旗下的子公司,本身是全球綜合接入設備的大型製造商,提供寬頻網路、無線網路、光纖網路路由器,以及機上盒等產品。
這項漏洞最初浮上檯面,是在今年初。當時,Tenable取得日本暢銷的路由器設備Buffalo
WSR-2533進行研究,找到多個漏洞。但資安研究人員進一步調查發現,有其他使用智易科技韌體的路由器,也存在相同漏洞。於是,Tenable在4月下旬通報智易科技,智易科技也確認相關漏洞的確存在,並表明他們與其中一家廠商正在修補中, 但不願向Tenable透露可能受影響的廠商名單。
針對CVE-2021–20090,Tenable於4月26日首度發出資安通告,並於7月20日公布其他受到影響的路由器名單,最後在8月3日發表此漏洞的細節,並提供概念性驗證(PoC)攻擊手法與影片。
A little video demo from the Buffalo writeup ( https://t.co/ySft5EP299 ) : pic.twitter.com/1ulDi0CyXZ
— evan grant (@stargravy) August 3, 2021
受到此繞過驗證漏洞影響的路由器,出現於華碩、Buffalo,以及智易科技的自有品牌,還有多家ISP業者也有存在相同漏洞的路由器機種,如:英國電信、德國電信、Verizon、Vodafone等。
廠牌 | 路由器機種 |
ADB | ADSL wireless IAD router |
Arcadyan | ARV7519 |
Arcadyan | VRV9517 |
Arcadyan | VGV7519 |
Arcadyan | VRV9518 |
ASMAX | BBR-4MG / SMC7908 ADSL |
ASUS | DSL-AC88U (Arc VRV9517) |
ASUS | DSL-AC87VG (Arc VRV9510) |
ASUS | DSL-AC3100 |
ASUS | DSL-AC68VG |
Beeline | Smart Box Flash |
British Telecom | WE410443-SA |
Buffalo | WSR-2533DHPL2 |
Buffalo | WSR-2533DHP3 |
Buffalo | BBR-4HG |
Buffalo | BBR-4MG |
Buffalo | WSR-3200AX4S |
Buffalo | WSR-1166DHP2 |
Buffalo | WXR-5700AX7S |
Deutsche Telekom | Speedport Smart 3 |
HughesNet | HT2000W |
KPN | ExperiaBox V10A (Arcadyan VRV9517) |
KPN | VGV7519 |
O2 | HomeBox 6441 |
Orange | LiveBox Fibra (PRV3399) |
Skinny | Smart Modem (Arcadyan VRV9517) |
SparkNZ | Smart Modem (Arcadyan VRV9517) |
Telecom (Argentina) | Arcadyan VRV9518VAC23-A-OS-AM |
TelMex | PRV33AC |
TelMex | VRV7006 |
Telstra | Smart Modem Gen 2 (LH1000) |
Telus | WiFi Hub (PRV65B444A-S-TS) |
Telus | NH20A |
Verizon | Fios G3100 |
Vodafone | EasyBox 904 |
Vodafone | EasyBox 903 |
Vodafone | EasyBox 802 |
近期已出現攻擊行動
事隔3天,資安業者Juniper於8月6日提出警告,表示攻擊者已經鎖定CVE-2021–20090漏洞,透過位於中國湖北省武漢市的IP位址,利用,利用指令碼(Script)來發動Mirai變種殭屍病毒攻擊,而這與3月Palo Alto Networks揭露的攻擊行動似乎有關。
因為他們發現,這兩起事件發現的指令碼檔案,名稱很相似,也由於彼此行動的時間點相當接近,Juniper研判,很可能是由相同的駭客所為。
針對此起攻擊行動,Juniper亦公布入侵指標(IOC),像是:來源IP位址、程式碼檔案雜湊值等,供企業偵測是否存在遭入侵的跡象。
熱門新聞
2024-09-29
2024-10-02
2024-10-04
2024-10-03
2024-10-01
2024-10-01
2024-10-01