在5月29日,刑事警察局公布有黑客集团假借防疫名义架设钓渔网站,其中提到钓鱼信的发送,是通过一家不知情企业的无线分享器作为跳板转发,而设备之所以成为跳板,根据刑事警察局说明,原因是无线分享器存在CVE-2019-19822及CVE-2019-19823的漏洞,遭黑客利用,导致设备被对方掌控,并被擅自设置VPN连接所造成。
因此,当时刑事局科技犯罪防制中心科技研发科特别强调一点,就是网络设备若未立即修补更新,恐造成安全缺口,因此,当时他们函请该无线分享器厂商修补漏洞,同时也呼吁人们要用户重视联网设备的安全管理。
对于黑客掌控这些无线分享器设备的风险,科技犯罪防制中心科技研发科股长黄翰文说明,特定品牌的无线分享器有漏洞,这些产品并具有VPN的功能,一旦该网通设备的VPN的连接功能被打开后,黑客就可以使用Windows提供的SSTP VPN连接方式,连至该分享器,并将设备作为跳板进行连接。
在这次公布的安全事件中,由于刑事局只说明企业的无线分享器遭利用,但没有具体说明那些品牌的联网设备,但根据上述两个CVE漏洞编号,我们还是可以帮助人们了解那些网通产品存在风险,可能是这个攻击行动的下一受害者,因为刑事局提及已发现5起以上的这类遭黑案例。
对于上述两个漏洞,我们进一步找出了相关信息,这是去年12月由研究人员Błażej Adamczyk所披露,他来自波兰西里西亚技术大学,过去曾数次披露无线分享器的漏洞,包括华硕与D-Link的产品。
简单来说,上述两个漏洞主要存在基于Realtek SDK的路由器系列,因此影响多个品牌的产品,其中Totolink产品数量最多,共有8款受影响,其他还包括Sapido、CIK Telecom、KCTVJEJU、Fibergate、t-broad、Coship与IO-Data等厂商。
关于CVE-2019-19822、CVE-2019-19823漏洞的问题,根据研究人员Błażej Adamczyk的分析,多家设备厂商的无线路由器产品受影响,其中Totlink有8款机型为最多。以下为已知影响产品:
●Totlink A3002RU , 702R , N301RT , N302R , N300RT , 200RE , N150RT与N100RE
●Rutek RTK 11N AP
●Sapido GR297n
●CIK TELECOM MESH ROUTER
●KCTVJEJU Wireless AP
●Fibergate FGN-R2
●Hi-Wifi MAX-C300N
●HCN MAX-C300N
●T-broad GN-866ac
●Coship EMTA AP
●IO-Data WN-AC1167R
possibly others.
以影响范围与严重程度来看,Totolink产品用户最需要注意。因为Błażej Adamczyk指出,该公司受影响的产品还存在另外两个漏洞,分别是CVE-2019-19824与CVE-2019-19825的漏洞,攻击者可将这4个漏洞串在一起利用,就能完全控制路由器。他估计,市面上有70万设备受影响,其中并有7万个设备是易受攻击的对象。
在发现漏洞之后,他联系了多家厂商,包括Totolink、CIK Telecom、Sapido、Fibergate与Coship,只有两家厂商回应,但都没有具体修复行动。之后,他在去年12月16日对外披露这些漏洞。
后续,他在今年1月联系到台厂瑞昱半导体(Realtek),对方在1月中旬回应,说明默认SDK配置并没有问题,主要是大多数设备厂商修改了软件,同时也包含身份验证机制在内,才使之成为弱点。接下来,瑞昱又在1月23日说明修补状况,将减少以明文形式存储密码的影响。
然而,对于用户而言,真正严重的问题在于,各家设备厂商是否修补。举例来说,以Totolink受影响的其中一款产品而言,例如N300RT,我们在该公司官网上看到最新的固件更新,是在2019年5月14日,这也意味企业尚未修补上述漏洞,设备用户可能面临无从修补的困境。
整体来看,由于这次的漏洞问题与瑞昱SDK有关,又影响到多家厂商的产品,显然这样的安全事件与供应链安全的议题有关。
而对于企业与一般用户而言,无论如何,以这次刑事警察局公布的受害案例来看,强调了企业无线分享器被黑客掌控的安全问题,也就是提醒用户必须注意这类产品的漏洞修补更新,更进一步关注的是,产品企业是否持续有在修补漏洞维护设备安全,应用户采购设备时可能需要留意之处。
近期刑事警察局科技犯罪防制中心科技研发科表示,发现人们与企业的网通设备沦为跳板,其原因是无线分享器存在CVE-2019-19822及CVE-2019-19823漏洞且遭黑客利用,导致设备被对方掌控,并被设置VPN作为跳板。