多个型号的家用路由器很可能因为采用相同品牌固件,而存在同样的漏洞,成为攻击者锁定的目标。例如,在2020年11月由安全媒体CyberNews披露数款品牌的路由器存在后门漏洞,而有攻击者借此传播僵尸病毒Mirai的情况:这些品牌包含Walmart独家销售的Jetstream,以及通过Amazon与eBay销售的Wavlink。安全研究员发现,上述两个品牌的路由器,都是中国企业Winstars生产,而存在相同的漏洞。
但这种多款路由器产品使用含有漏洞的固件,而存在相同漏洞的情况最近又再度发生。研究人员发现横跨数十个品牌与ISP、影响数以百万设备的重大漏洞,一旦攻击者滥用,就能绕过网页管理界面的身份验证机制,而掌控路由器来发动攻击,且被披露不久已出现攻击行动。
在8月3日,弱点管理解决方案企业Tenable公布绕过验证漏洞CVE-2021–20090的细节,此漏洞的CVSS风险层级达9.8分,影响19个品牌、总共37款路由器设备,而这些设备的共同点,都是采用台湾综合接入设备(IAD)制造商智易科技(Arcadyan)的固件。
智易科技成立于2003年,总部位于新竹科学园区,是仁宝旗下的子公司。该公司是全球综合接入设备的大型制造商,提供宽带网络、无线网络、光纤网络路由器,以及机顶盒等产品。
这项漏洞最早被发现的起缘,是Tenable于今年的年初,取得日本一款相当畅销的路由器设备Buffalo WSR-2533进行研究,所找到的其中一项漏洞。但安全研究人员进一步调查发现,还有其他使用智易科技固件的路由器,也存在相同漏洞。Tenable于4月下旬通报智易科技后,智易科技确认相关漏洞,并表明他们与其中一家厂商正在修补中,但不愿向Tenable透露可能受影响的厂商名单。
针对CVE-2021–20090,Tenable于4月26日首度发出安全通告,并于7月20日公布其他受到影响的路由器名单,最后在8月3日发布此漏洞的细节,并提供概念性验证(PoC)攻击手法与视频。
A little video demo from the Buffalo writeup (https://t.co/ySft5EP299) :pic.twitter.com/1ulDi0CyXZ
—evan grant (@stargravy)August 3, 2021
受到此绕过验证漏洞影响的路由器,出现于华硕、Buffalo,以及智易科技的自有品牌,还有多家ISP企业也有存在相同漏洞的路由器机型,如:英国电信、德国电信、Verizon、Vodafone等。
时隔3天,安全企业Juniper于8月6日提出警告,表示攻击者已经锁定CVE-2021–20090漏洞,通过已被锁定IP地址,利用程序代码(Script)来发动Mirai变种僵尸病毒攻击,其程序代码文件的名称,与3月Palo Alto Networks披露的攻击行动中,所出现的程序代码相似。由于两起攻击行动的时间点相当接近,Juniper研判,两起攻击行动很可能是由相同的黑客所为。
针对此起攻击行动,Juniper也公布攻击来源IP地址、程序代码文件的散列值等入侵指标(IOC),以供企业侦测是否遭到入侵的迹象。