随着网络空间的规模和活动不断扩大,它与日常生活越来越紧密地交织在一起。
网络空间的一个小小的安全事件往往可能会带来一系列的“蝴蝶效应”。
例如,去年全球最大的半导体代工制造商台积电在其工厂意外“中毒”,不仅导致工厂停工,还影响到了即将发布新品的苹果公司。
天上损失了10亿。
这次引起关注的是 D-Link 产品中的一个漏洞。
这是D-Link不愿意修复的高危漏洞。
今年9月,集成自动化网络安全解决方案提供商Fortinet旗下的FortiGuard实验室发现并正式报告了D-Link产品中的一个未经授权的命令注入漏洞(FG-VD-19)。
-/CVE-0)。
攻击者可以利用此漏洞在设备上实现无需身份验证的远程代码执行(RCE)。
该漏洞被标记为高严重性漏洞。
根据 Fortinet 的报告,受此漏洞影响的设备型号为 DIR-C、DIR-L、DIR- 和 DHP-。
不幸的是,D-Link 表示这些产品已超过使用寿命 (EOL),制造商将不再提供针对此问题的补丁。
也就是说,D-Link 不愿意为这些产品修复这个补丁。
其影响被严重低估。
不过,不久前,安全研究院团队对该漏洞进行了深入分析。
在细化漏洞识别模型后,他们使用自主开发的 FirmwareTotal 对全网超过 20 万个固件进行了全面扫描,发现了这个 D-Link 不愿意修复的高危漏洞的影响被严重低估了。
!在发现众多疑似受该漏洞影响的设备固件后,FirmwareTotal能够进一步批量动态模拟该固件,自动进行漏洞验证POC,最终确认该漏洞的存在:最终得到安全研究院验证团队认为,该漏洞背后的真相是,13D-Link此漏洞存在于不同型号的58个版本固件中。
这不是第一次,也不会是最后一次。
确认安全问题后,安全研究院团队立即通知了厂商。
D-Link 最近在其安全公告中更新了该漏洞的范围(D-Link 不是第一起事件,也不会是最后一次。
过去,安全研究院团队基于大量数据做了大量分析) -规模固件数据 在工作过程中,我们发现在固件开发过程中,重复使用第三方组件的问题非常普遍,如下图所示,一个第三方库往往被数千个固件所使用。
这意味着一旦这个库文件出现安全问题,将会影响数千个固件和相关设备。
例如openssl的Heartbleed漏洞、Busybox的安全漏洞等。
大多数供应商在不同的产品中共享相似的供应链代码,包括已经达到生命周期终点的旧设备和刚刚发布的新设备,通常使用类似的代码库。
当安全问题出现时,如果只看到对旧设备的支持已经停止、停止,而没有进一步探究新设备是否还在使用这些代码库,会带来很多安全风险。
尤其是在路由器产品以外的领域,如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业控制设备等,一旦黑客首先发现类似的潜在缺陷,将影响大量运行中的关键设备。
构成重大威胁。
上图中,Busybox1.30.0及之前版本存在漏洞,包括CVE-和CVE-9。
使用Busybox组件的固件有很多,并且大部分使用1.30.0之前的版本。
根据安全研究院团队对数万个固件样本的统计,发现96%的固件使用1.30.0之前的版本。
这将导致各类设备受到影响,包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇中的自动化控制系统设备、工业控制系统中的RTU控制器以及工业安全路由器等。
这本质上是信息不对称造成的重大安全威胁。
FirmwareTotal可以为制造商提供“看见的能力”,消除信息不对称,解决其带来的潜在威胁。