2021
08
12

近40款路由器存在身分驗證漏洞,恐影響數百萬臺設備[轉載自iThome]

關鍵字:路由器身分驗證漏洞

多個型號的家用路由器很可能因為採用相同廠牌韌體,而存在同樣的漏洞,成為攻擊者鎖定的目標。例如,在2020年11月由資安媒體CyberNews揭露數款品牌的路由器存在後門漏洞,而有攻擊者藉此散布殭屍病毒Mirai的情況:這些廠牌包含Walmart獨家銷售的Jetstream,以及透過Amazon與eBay販賣的Wavlink。資安研究員發現,上述兩個品牌的路由器,都是中國業者Winstars生產,而存在相同的漏洞。

但這種多款路由器產品使用含有漏洞的韌體,而存在相同漏洞的情況最近又再度發生。研究人員發現橫跨數十個廠牌與ISP、影響數以百萬設備的重大漏洞,一旦攻擊者濫用,就能繞過網頁管理界面的身分驗證機制,而掌控路由器來發動攻擊,且被揭露不久已出現攻擊行動。

在8月3日,弱點管理解決方案業者Tenable公布繞過驗證漏洞CVE-2021–20090的細節此漏洞的CVSS風險層級達9.8分,影響19個廠牌、總共37款路由器設備,而這些設備的共同點,都是採用臺灣綜合接入設備(IAD)製造商智易科技(Arcadyan)的韌體。

智易科技成立於2003年,總部位於新竹科學園區,是仁寶旗下的子公司。該公司是全球綜合接入設備的大型製造商,提供寬頻網路、無線網路、光纖網路路由器,以及機上盒等產品。

這項漏洞最早被發現的起緣,是Tenable於今年的年初,取得日本一款相當暢銷的路由器設備Buffalo WSR-2533進行研究,所找到的其中一項漏洞。但資安研究人員進一步調查發現,還有其他使用智易科技韌體的路由器,也存在相同漏洞。Tenable於4月下旬通報智易科技後,智易科技確認相關漏洞,並表明他們與其中一家廠商正在修補中,但不願向Tenable透露可能受影響的廠商名單。

針對CVE-2021–20090,Tenable於4月26日首度發出資安通告,並於7月20日公布其他受到影響的路由器名單,最後在8月3日發表此漏洞的細節,並提供概念性驗證(PoC)攻擊手法與影片。

https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2 
https://twitter.com/i/status/1422550311814762503 

受到此繞過驗證漏洞影響的路由器,出現於華碩、Buffalo,以及智易科技的自有品牌,還有多家ISP業者也有存在相同漏洞的路由器機種,如:英國電信、德國電信、Verizon、Vodafone等。

廠牌 路由器機種
ADB ADSL wireless IAD router
Arcadyan ARV7519
Arcadyan VRV9517
Arcadyan VGV7519
Arcadyan VRV9518
ASMAX BBR-4MG / SMC7908 ADSL
ASUS DSL-AC88U (Arc VRV9517)
ASUS DSL-AC87VG (Arc VRV9510)
ASUS DSL-AC3100
ASUS DSL-AC68VG
Beeline Smart Box Flash
British Telecom WE410443-SA
Buffalo WSR-2533DHPL2
Buffalo WSR-2533DHP3
Buffalo BBR-4HG
Buffalo BBR-4MG
Buffalo WSR-3200AX4S
Buffalo WSR-1166DHP2
Buffalo WXR-5700AX7S
Deutsche Telekom Speedport Smart 3
HughesNet HT2000W
KPN ExperiaBox V10A (Arcadyan VRV9517)
KPN VGV7519
O2 HomeBox 6441
Orange LiveBox Fibra (PRV3399)
Skinny Smart Modem (Arcadyan VRV9517)
SparkNZ Smart Modem (Arcadyan VRV9517)
Telecom (Argentina) Arcadyan VRV9518VAC23-A-OS-AM
TelMex PRV33AC
TelMex VRV7006
Telstra Smart Modem Gen 2 (LH1000)
Telus WiFi Hub (PRV65B444A-S-TS)
Telus NH20A
Verizon Fios G3100
Vodafone EasyBox 904
Vodafone EasyBox 903
Vodafone EasyBox 802

事隔3天,資安業者Juniper於8月6日提出警告,表示攻擊者已經鎖定CVE-2021–20090漏洞,透過位於中國湖北省武漢市的IP位址,利用程式碼(Script)來發動Mirai變種殭屍病毒攻擊,其程式碼檔案的名稱,與3月Palo Alto Networks揭露的攻擊行動中,所出現的程式碼相似。由於兩起攻擊行動的時間點相當接近,Juniper研判,兩起攻擊行動很可能是由相同的駭客所為。

針對此起攻擊行動,Juniper亦公布攻擊來源IP位址、程式碼檔案的雜湊值等入侵指標(IOC),以供企業偵測是否遭到入侵的跡象。

傑立資訊傑立資訊事業有限公司

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.