這個D-Link不願修復的高危漏洞，影響面被嚴重低估了！

隨著網路空間的規模和行動不斷擴大，其與日常生活日益交織。往往在網路空間一起微小的安全事件可能帶來一連串“蝴蝶效應”，譬如去年全球最大的半導體代工製造商臺積電工廠意外“中毒”，造成工廠停工不說還連累了要發新品的蘋果，三天虧了10億。而這次煽動翅膀的是D-Link產品的一個漏洞。

這個D-Link 不願修復的高危漏洞

2019年9月，整合自動化網路安全解決方案商Fortinet 的 FortiGuard Labs 發現並向官方反饋了 D-Link 產品中存在的一個未授權命令注入漏洞（FG-VD-19-117/CVE-2019-16920）。攻擊者可以利用該漏洞在裝置上實現遠端程式碼執行（RCE），且無需透過身份認證。該漏洞被標記為高危級別漏洞。

在 Fortinet 的報告中，受此漏洞影響的裝置型號有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。

遺憾的是，D-Link 表示這些產品已超出服務週期（EOL），廠商不會再為該問題提供補丁，換句話說，D-Link不願為這些產品修復這個補丁。

被嚴重低估的影響面

然而不久前，360安全研究院團隊對該漏洞進行了深入分析，提煉出漏洞識別模式後，透過自研的 FirmwareTotal 對全網二十多萬的韌體進行全面掃描後，發現這個D-Link不願修復的高危漏洞，影響面被嚴重低估了！

發現眾多疑似受漏洞影響的裝置韌體後，FirmwareTotal還能夠進一步批次動態模擬韌體、自動化執行漏洞驗證POC，最終確認漏洞的存在：

最終經過360安全研究院團隊驗證，該漏洞背後的真相是，13個 D-Link 不同型號中的58個版本韌體，都存在該漏洞。

在確認該安全問題後，360安全研究院團隊第一時間通報了廠商。日前D-Link已在安全通報中更新了漏洞影響範圍（https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124）。

這不是第一個，也不會是最後一個

類似D-Link這樣的事件，不是第一個，也不會是最後一個。

過去，360安全研究院團隊基於大規模韌體資料做了很多的分析工作，發現第三方元件重複使用的問題在韌體開發過程中非常普遍。

就如下圖所示，一個第三方的庫，常常被上千個韌體所使用。這意味著一旦該庫檔案出現安全問題，將會影響成千上萬的韌體和相關裝置。比如 openssl 的心臟滴血漏洞、 Busybox 的安全漏洞等。

大多數廠商都在他們的不同產品裡共用類似的供應鏈程式碼，包括在已結束生命週期的老裝置和剛釋出的新裝置裡，往往也使用著相似的程式碼庫。

當安全問題出現時，如果只看到老裝置已停止支援，就停止腳步，而不去進一步探究新裝置是否還在使用這些程式碼庫，將會帶來許多安全風險。

特別是在路由器產品之外的領域，比如自動駕駛汽車、智慧醫療裝置、關鍵基礎設施裝置、工業控制裝置等，一旦被駭客搶先一步發現類似的潛在缺陷，將會對正在執行中的大量關鍵裝置造成重大威脅。

在上圖中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞，包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的韌體使用了Busybox元件，並且大部分使用的都是1.30.0之前的版本。經過360安全研究院團隊從數萬個韌體樣本中統計，96%的韌體都使用了1.30.0之前的版本。

這會導致各種型別的裝置都受其影響，包括與GE醫療心電圖分析系統密切相關的串列埠裝置伺服器、智慧樓宇的自動化控制系統裝置、工控系統中的RTU控制器以及工業安全路由器等。

這本質上是一個資訊不對稱帶來的重大安全威脅問題，透過FirmwareTotal則可以為廠商提供一種“看見的能力”，消除資訊不對稱，以及解決其帶來的潛在威脅問題。