信息來源：4hou

隨著網絡空間的規(guī)模和行動不斷擴大，其與日常生活日益交織。往往在網絡空間一起微小的安全事件可能帶來一連串“蝴蝶效應”，譬如去年全球最大的半導體代工制造商臺積電工廠意外“中毒”，造成工廠停工不說還連累了要發(fā)新品的蘋果，三天虧了10億。而這次煽動翅膀的是D-Link產品的一個漏洞。

這個D-Link 不愿修復的高危漏洞

2019年9月，集成自動化網絡安全解決方案商Fortinet 的 FortiGuard Labs 發(fā)現并向官方反饋了 D-Link 產品中存在的一個未授權命令注入漏洞（FG-VD-19-117/CVE-2019-16920）。攻擊者可以利用該漏洞在設備上實現遠程代碼執(zhí)行（RCE），且無需通過身份認證。該漏洞被標記為高危級別漏洞。

在 Fortinet 的報告中，受此漏洞影響的設備型號有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。

遺憾的是，D-Link 表示這些產品已超出服務周期（EOL），廠商不會再為該問題提供補丁，換句話說，D-Link不愿為這些產品修復這個補丁。

被嚴重低估的影響面

然而不久前，360安全研究院團隊對該漏洞進行了深入分析，提煉出漏洞識別模式后，通過自研的 FirmwareTotal 對全網二十多萬的固件進行全面掃描后，發(fā)現這個D-Link不愿修復的高危漏洞，影響面被嚴重低估了！

發(fā)現眾多疑似受漏洞影響的設備固件后，FirmwareTotal還能夠進一步批量動態(tài)模擬固件、自動化執(zhí)行漏洞驗證POC，最終確認漏洞的存在：

最終經過360安全研究院團隊驗證，該漏洞背后的真相是，13個 D-Link 不同型號中的58個版本固件，都存在該漏洞。

型號

受影響版本

在確認該安全問題后，360安全研究院團隊第一時間通報了廠商。日前D-Link已在安全通報中更新了漏洞影響范圍（https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124）。

這不是第一個，也不會是最后一個

類似D-Link這樣的事件，不是第一個，也不會是最后一個。

過去，360安全研究院團隊基于大規(guī)模固件數據做了很多的分析工作，發(fā)現第三方組件重復使用的問題在固件開發(fā)過程中非常普遍。

就如下圖所示，一個第三方的庫，常常被上千個固件所使用。這意味著一旦該庫文件出現安全問題，將會影響成千上萬的固件和相關設備。比如 openssl 的心臟滴血漏洞、 Busybox 的安全漏洞等。

大多數廠商都在他們的不同產品里共用類似的供應鏈代碼，包括在已結束生命周期的老設備和剛發(fā)布的新設備里，往往也使用著相似的代碼庫。

當安全問題出現時，如果只看到老設備已停止支持，就停止腳步，而不去進一步探究新設備是否還在使用這些代碼庫，將會帶來許多安全風險。

特別是在路由器產品之外的領域，比如自動駕駛汽車、智能醫(yī)療設備、關鍵基礎設施設備、工業(yè)控制設備等，一旦被黑客搶先一步發(fā)現類似的潛在缺陷，將會對正在運行中的大量關鍵設備造成重大威脅。

在上圖中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞，包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox組件，并且大部分使用的都是1.30.0之前的版本。經過360安全研究院團隊從數萬個固件樣本中統(tǒng)計，96%的固件都使用了1.30.0之前的版本。

這會導致各種類型的設備都受其影響，包括與GE醫(yī)療心電圖分析系統(tǒng)密切相關的串口設備服務器、智能樓宇的自動化控制系統(tǒng)設備、工控系統(tǒng)中的RTU控制器以及工業(yè)安全路由器等。

這本質上是一個信息不對稱帶來的重大安全威脅問題，通過FirmwareTotal則可以為廠商提供一種“看見的能力”，消除信息不對稱，以及解決其帶來的潛在威脅問題。