路由器的三個(gè)關(guān)鍵安全漏洞

美國(guó)聯(lián)邦貿(mào)易委員會(huì) (FTC)起訴D-Link，因?yàn)槠渎酚善骱蛿z像頭的安全性不足，將消費(fèi)者最敏感的個(gè)人數(shù)據(jù)置于危險(xiǎn)之中。D-Link因發(fā)布缺乏基本安全措施的產(chǎn)品以及在這些產(chǎn)品中發(fā)現(xiàn)安全問(wèn)題時(shí)響應(yīng)遲緩而受到批評(píng)。

關(guān)于此主題的最新更新表明，D-Link已同意進(jìn)行近10年的安全審計(jì)以解決FTC訴訟，同時(shí)進(jìn)行必要的安全增強(qiáng)以保護(hù)用戶數(shù)據(jù)。FTC消費(fèi)者保護(hù)局局長(zhǎng)Andrew Smith表示：“連接設(shè)備的制造商和銷(xiāo)售商應(yīng)該意識(shí)到，F(xiàn)TC將要求D-Link對(duì)將用戶數(shù)據(jù)暴露于泄露風(fēng)險(xiǎn)的故障負(fù)責(zé)?！?/p>

技術(shù)概述

虹科Vdoo的安全研究團(tuán)隊(duì)不斷對(duì)來(lái)自安全和安保領(lǐng)域的行業(yè)領(lǐng)先物聯(lián)網(wǎng)產(chǎn)品進(jìn)行廣泛的研究，包括網(wǎng)絡(luò)設(shè)備和路由器。繼最近FTC對(duì)D-Link產(chǎn)品的訴訟更新后，虹科Vdoo安全研究團(tuán)隊(duì)使用Vdoo的自動(dòng)化安全和分析解決方案Vision自動(dòng)分析各種網(wǎng)絡(luò)設(shè)備。結(jié)果表明大多數(shù)連接的嵌入式設(shè)備都沒(méi)有得到很好的保護(hù)。由此可見(jiàn)D-Link很可能不是唯一未能實(shí)施安全最佳實(shí)踐的制造商。

分析是通過(guò)路由器的固件二進(jìn)制文件完成的。每個(gè)路由器的分析結(jié)果都顯示在詳細(xì)報(bào)告中。這些報(bào)告揭示了一些潛在的零日漏洞和許多與所分析設(shè)備相關(guān)的關(guān)鍵安全問(wèn)題。下面介紹了其中三個(gè)關(guān)鍵安全問(wèn)題。

Vision 發(fā)現(xiàn)的主要威脅

READ

以下是在分析的路由器中發(fā)現(xiàn)的三個(gè)關(guān)鍵安全問(wèn)題。每個(gè)問(wèn)題都由一個(gè)安全要求解決，該要求解釋了發(fā)現(xiàn)的安全問(wèn)題，詳述了此類(lèi)問(wèn)題的含義，以及供應(yīng)商應(yīng)采取哪些措施來(lái)降低風(fēng)險(xiǎn)。

HONGKE

1.在沒(méi)有關(guān)鍵安全標(biāo)志的情況下編譯了多個(gè)二進(jìn)制文件。

2.私鑰存儲(chǔ)在設(shè)備上。

3.正在CGI腳本中執(zhí)行Shell命令。

安全問(wèn)題的影響

READ

安全要求的不充分實(shí)施可能會(huì)增加遠(yuǎn)程攻擊者成功利用設(shè)備或嗅探敏感數(shù)據(jù)的概率。成功攻擊后，攻擊者可以：完全控制設(shè)備-更改設(shè)備配置-訪問(wèn)用戶的瀏覽歷史記錄和傳輸?shù)臄?shù)據(jù)-安裝惡意軟件以將設(shè)備添加到僵尸網(wǎng)絡(luò)，這可能允許攻擊者執(zhí)行其他操作惡意任務(wù)，例如DDoS攻擊和加密貨幣挖掘-將設(shè)備用作網(wǎng)絡(luò)的滲透點(diǎn)（執(zhí)行橫向移動(dòng)）-操縱傳輸?shù)臄?shù)據(jù)以執(zhí)行可能允許攻擊者獲取用戶名、密碼和信用等敏感信息的網(wǎng)絡(luò)釣魚(yú)攻擊卡詳細(xì)信息。

給設(shè)備制造商的建議

在開(kāi)發(fā)階段實(shí)施安全

安全問(wèn)題不能只是事后考慮，因?yàn)檫@可能會(huì)導(dǎo)致付出高昂的代價(jià)，例如上市時(shí)間延遲或冗余設(shè)計(jì)更改。如果完全忽視，可能會(huì)導(dǎo)致訴訟和聲譽(yù)受損，就像 D-Link的情況一樣。

強(qiáng)烈建議供應(yīng)商在整個(gè)開(kāi)發(fā)生命周期中執(zhí)行持續(xù)的安全檢查。對(duì)于有效的CI流程，構(gòu)建自動(dòng)化服務(wù)器和Vision API之間的集成。每次構(gòu)建完成時(shí)，Vision都對(duì)其進(jìn)行自動(dòng)分析。完成Vision分析后，開(kāi)發(fā)人員會(huì)收到一封電子郵件，包含分析結(jié)果完整報(bào)告的鏈接。

迄今為止，Vision分析引擎生成了900多個(gè)安全要求，這些要求僅在與特定分析的設(shè)備相關(guān)時(shí)才顯示，以平衡和優(yōu)先的方式簡(jiǎn)化實(shí)施。此外，Vision分析引擎會(huì)發(fā)現(xiàn)潛在漏洞，這些漏洞也包含在被分析設(shè)備的報(bào)告中。迄今為止，已在各種產(chǎn)品類(lèi)型和通用代碼庫(kù)中發(fā)現(xiàn)了 160 多個(gè)零日漏洞。

注意：這些漏洞是最佳的方式向供應(yīng)商披露的，并將在披露期結(jié)束，且有足夠的時(shí)間修補(bǔ)設(shè)備后逐步共享。

2. 確保符合行業(yè)標(biāo)準(zhǔn)

萬(wàn)一發(fā)生安全事件，或者甚至只是為了更好的營(yíng)銷(xiāo)定位，如果供應(yīng)商能夠證明通過(guò)遵守領(lǐng)先的行業(yè)標(biāo)準(zhǔn)來(lái)考慮安全性，則情況會(huì)更好。標(biāo)準(zhǔn)化機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)和行業(yè)團(tuán)體正在努力定義適當(dāng)?shù)木W(wǎng)絡(luò)安全設(shè)備的標(biāo)準(zhǔn)。然而，在許多情況下，這些標(biāo)準(zhǔn)很難遵循，因?yàn)檫@些標(biāo)準(zhǔn)不夠詳細(xì)。

Vision通過(guò)繪制出與每個(gè)標(biāo)準(zhǔn)相關(guān)的安全要求，幫助供應(yīng)商遵守各種法規(guī)、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，同時(shí)可以幫助D-Link遵守國(guó)際電工委員會(huì)(IEC)的要求。

3. 嵌入主動(dòng)實(shí)時(shí)保護(hù)層

即使在設(shè)備投放市場(chǎng)之前在設(shè)備中正確實(shí)施了安全措施，新的威脅也會(huì)不斷出現(xiàn)。按需緩解功能可以保護(hù)設(shè)備免受新威脅的侵害，這可以通過(guò)虹科Vdoo ERA嵌入式運(yùn)行時(shí)微代理實(shí)現(xiàn)。這充當(dāng)了額外的保護(hù)層，使攻擊者很難利用漏洞或安全漏洞。

附錄-虹科Vdoo安全性防護(hù)平臺(tái)

虹科Vdoo是端到端的產(chǎn)品安全分析平臺(tái)，在整個(gè)產(chǎn)品生命周期中自動(dòng)化所以軟件安全任務(wù)，確保所有安全問(wèn)題得到優(yōu)先處理、溝通和緩解。垂直無(wú)關(guān)的平臺(tái)使各種行業(yè)的設(shè)備制造商和部署者能夠跨多個(gè)業(yè)務(wù)線擴(kuò)展其產(chǎn)品安全功能。虹科Vdoo的自動(dòng)保護(hù)連接產(chǎn)品的方法使客戶大大縮短了上市時(shí)間，減少了資源需求，增加了銷(xiāo)售，降低了總體風(fēng)險(xiǎn)。

責(zé)任編輯：haq