台湾厂商对于信息产品的漏洞处置,未必没有修补,但要是仍然采取大事化小、小事化无的态度,用户很可能还是会因为没有留意,没有安装更新固件,而持续让网络设备暴露于漏洞的风险之中。例如,中国安全企业奇虎360的网络安全研究实验室(Netlab)于3月底披露,于去年12月4日开始,有两个黑客组织的攻击行动细节,先后锁定台厂居易科技(Draytek)旗下Vigor宽带路由器与交换机的漏洞CVE-2020-8515。奇虎360后来在12月25日,通报韩国等地的CERT,并于推特上首度提及他们的发现,但只有公开一部分的攻击特征要大家加以防范,并未提及受影响设备的品牌与型号。
#0-day Since 2019-12-04 08:22:29 (UTC), we have been witnessing ongoing 0 day attack targeting a network CPE vendor (not the big players, but there are about ~ 100,000 devices online according to public available data). The attacker is snooping on port 21,25,143,110 (1/2)
—360 Netlab (@360Netlab)December 25, 2019
第一波锁定居易路由器和交换机的攻击,于去年的12月4日出现,手法是通过keyPath命令注入漏洞,窃听设备网络流量。而第二起攻击行动,则是在Netlab通报之后发生:2020年1月28日,黑客滥用rtick命令注入漏洞,打开SSH服务创建系统后门账号,以及Web Session后门。
居易科技获报之后,也在2月10日发布英文版安全公告,表示Vigor3900、Vigor2960,以及Vigor300B等3款型号受影响,并提供1.5.1版固件。虽然台湾网站也有提供这些固件,但没有相关的公告网页,对此,我们也向该公司确认台湾是否提供有关信息。居易表示,如果用户有注册MyVigor账号,就会收到这个固件更新的通知,但这样的做法,除非用户阅读改版内容,不然很难了解路由器已经暴露在重大的安全风险中。对此,他们到了4月9日,也发出中文版公告,并提醒受影响且未修补的用户,应尽快更新。