圖片來源: 

Tenable

一般而言,多個型號的家用路由器, 很可能因採用相同廠牌韌體,具有同樣的漏洞,而成為駭客發動攻擊的目標。例如,在2020年11月由資安媒體CyberNews揭露數款品牌的路由器存在後門漏洞,而有攻擊者藉此散布殭屍病毒Mirai的情況:這些廠牌包含Walmart獨家銷售的Jetstream,以及透過Amazon與eBay販賣的Wavlink。資安研究員發現,這些品牌路由器的共通之處,就是上述兩個品牌的路由器,都是中國業者Winstars生產,而存在相同的漏洞。

但這種多款路由器產品使用含有漏洞的韌體,而存在相同漏洞的情況最近又再度發生。研究人員發現橫跨數十個廠牌與ISP、影響數以百萬設備的重大漏洞,一旦攻擊者濫用,就能繞過網頁管理界面的身分驗證機制,而掌控路由器來發動攻擊,且被揭露不久已出現攻擊行動。

存在漏洞的路由器設備,共通點是採用同廠牌的韌體

在8月3日,弱點管理解決方案業者Tenable公布繞過驗證漏洞CVE-2021–20090的細節此漏洞的CVSS風險層級達9.8分,影響19個廠牌、總共37款路由器設備,而這些設備的共同點,都是採用臺灣綜合接入設備(IAD)製造商智易科技(Arcadyan)的韌體。

智易科技成立於2003年,總部位於新竹科學園區,是仁寶旗下的子公司,本身是全球綜合接入設備的大型製造商,提供寬頻網路、無線網路、光纖網路路由器,以及機上盒等產品。

這項漏洞最初浮上檯面,是在今年初。當時,Tenable取得日本暢銷的路由器設備Buffalo
WSR-2533進行研究,找到多個漏洞。但資安研究人員進一步調查發現,有其他使用智易科技韌體的路由器,也存在相同漏洞。於是,Tenable在4月下旬通報智易科技,智易科技也確認相關漏洞的確存在,並表明他們與其中一家廠商正在修補中, 但不願向Tenable透露可能受影響的廠商名單。

針對CVE-2021–20090,Tenable於4月26日首度發出資安通告,並於7月20日公布其他受到影響的路由器名單,最後在8月3日發表此漏洞的細節,並提供概念性驗證(PoC)攻擊手法與影片。

受到此繞過驗證漏洞影響的路由器,出現於華碩、Buffalo,以及智易科技的自有品牌,還有多家ISP業者也有存在相同漏洞的路由器機種,如:英國電信、德國電信、Verizon、Vodafone等。

廠牌 路由器機種
ADB ADSL wireless IAD router
Arcadyan ARV7519
Arcadyan VRV9517
Arcadyan VGV7519
Arcadyan VRV9518
ASMAX BBR-4MG / SMC7908 ADSL
ASUS DSL-AC88U (Arc VRV9517)
ASUS DSL-AC87VG (Arc VRV9510)
ASUS DSL-AC3100
ASUS DSL-AC68VG
Beeline Smart Box Flash
British Telecom WE410443-SA
Buffalo WSR-2533DHPL2
Buffalo WSR-2533DHP3
Buffalo BBR-4HG
Buffalo BBR-4MG
Buffalo WSR-3200AX4S
Buffalo WSR-1166DHP2
Buffalo WXR-5700AX7S
Deutsche Telekom Speedport Smart 3
HughesNet HT2000W
KPN ExperiaBox V10A (Arcadyan VRV9517)
KPN VGV7519
O2 HomeBox 6441
Orange LiveBox Fibra (PRV3399)
Skinny Smart Modem (Arcadyan VRV9517)
SparkNZ Smart Modem (Arcadyan VRV9517)
Telecom (Argentina) Arcadyan VRV9518VAC23-A-OS-AM
TelMex PRV33AC
TelMex VRV7006
Telstra Smart Modem Gen 2 (LH1000)
Telus WiFi Hub (PRV65B444A-S-TS)
Telus NH20A
Verizon Fios G3100
Vodafone EasyBox 904
Vodafone EasyBox 903
Vodafone EasyBox 802

近期已出現攻擊行動

事隔3天,資安業者Juniper於8月6日提出警告,表示攻擊者已經鎖定CVE-2021–20090漏洞,透過位於中國湖北省武漢市的IP位址,利用,利用指令碼(Script)來發動Mirai變種殭屍病毒攻擊,而這與3月Palo Alto Networks揭露的攻擊行動似乎有關。

因為他們發現,這兩起事件發現的指令碼檔案,名稱很相似,也由於彼此行動的時間點相當接近,Juniper研判,很可能是由相同的駭客所為。

針對此起攻擊行動,Juniper亦公布入侵指標(IOC),像是:來源IP位址、程式碼檔案雜湊值等,供企業偵測是否存在遭入侵的跡象。

熱門新聞

Advertisement