別讓系統更新成為資安亂源

今年的臺灣資安大會剛落幕，在3月25日，竟傳出個人電腦廠商華碩的軟體更新遭入侵的事件，引發全球關注。

這項攻擊行動是由資安廠商Kaspersky所發現，發生的時間是在2018年的6月到11月，而關鍵就在於，該公司的軟體更新公用工具ASUS Live Update Utility，已經遭到歹徒濫用。而根據Kaspersky的統計，總共有多達5.7萬名以上的用戶，已經下載與安裝藏有後門程式的ASUS Live Update Utility。

而在這家資安廠商收集的200份以上的惡意程式樣本，他們觀察到裡面竟有一份寫死在程式碼當中的MAC位址清單，當中包含了600筆以上的不重複MAC位址（Media Access Control Address，也就是電腦使用的網路介面位址）。

而有了這樣的資料，其實是可以辨識出對方想要針對的目標所在電腦。因為，每一筆MAC位址，就是一臺連網設備使用的網路介面位址，若有這樣的資料，再與所有網路流量的資料進行比對，我們是有機會找出電腦的網路連線位置、所在地區，甚至是身分。

然而，就算是全世界最大的網路服務供應商，也不可能擁有全球網際網路的流量資料，因此，我們無從得知這6百多筆MAC位址的電腦到底在哪裡，目前只從MAC位址的前3碼所代表的網路介面製造商識別碼，來判斷它們的共通點，或是用戶自行查詢比對，確認自己是否為主要攻擊目標，但目前尚未看到有人公開表示這樣的狀態，所以並無法有進一步受害消息。

根據中國資安研究團隊360威脅情報中心在推特揭露的消息，我們知道當中有268臺連網設備採用華碩自家的網路卡，占比為44.97％；用英特爾（Intel）網路卡的有157臺，占26.34％；使用海華科技（AzureWave）網卡的有101臺，占16.95％，此外，這裡面的MAC位址，還有一些是光寶科技（LiteOn）、鴻海精密（Hon Hai Precision）等廠商生產的網路介面。

讓我們回頭看看此次攻擊的關鍵──華碩的用戶系統更新機制。基本上，ASUS Live Update是預載在華碩個人電腦的更新軟體，可用來更新主機板的BIOS、UEFI，以及各種系統驅動程式、其他華碩提供的應用工具軟體，絕大多數的主機板業者、個人電腦廠商，也都設有類似的更新機制。然而，這樣的共通特性與遠端連結、軟體派送能力，一旦整體的安全性有了管理上的缺口，讓駭客有機可乘，所能影響的範圍將會非常廣泛。

類似這樣的狀況，讓人想到6年前韓國發生的史上最大APT攻擊事件。根據調查，駭客先入侵企業內部的病毒碼更新主機，再利用更新病毒檔的正常管道，將惡意程式傳送到企業環境當中的每一臺個人電腦或伺服器。當時的災情相當慘重，有韓國KBS電視臺等6家企業受害， 48,700臺以上的電腦、伺服器與ATM伺服器，發生接連當機的狀況，電腦系統也因為硬碟開機磁區損毀，無法重新上線服務，有多達數千臺ATM故障，而網路銀行與信用卡服務也受到影響。

而在2019年發生的此次事件當中，雖然目前尚未看到有類似規模的災情，但所有的企業、組織都不應該大意，除了華碩本身要做緊急應變之外，我們也應該要積極清查本身採用該公司電腦的狀況，並且確認MAC位址不在這批清單上。

以更宏觀的角度來看，我們對於所有軟體、韌體的更新機制，都必須謹慎以對，強調要求所有供應商需做好管控，而對於自行開發的軟體、韌體的更新流程管控，也務必多加小心，不能再像過去那樣，僅重視開發階段與系統上線階段的安全，對於應用程式新版的部署程序、認證機制，應該要重新徹底審視，嚴陣以待，絕不能讓這個共通環節失守，反而成為駭客快速染指所有列管連網設備的任意門。