当前位置:主页 > 新闻中心 >

新闻中心

NEWS INFORMATION

这个D-Link不愿修复的高危漏洞,影响面被严重低估了!

时间:2022-08-25 14:51 点击次数:
  本文摘要:随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件有可能带给一连串“蝴蝶效应”,譬如去年全球仅次于的半导体代工制造商台积电工厂车祸“中毒”,导致工厂复工不说还害了要放新品的苹果,三天亏了10亿。而这次鼓动翅膀的是D-Link产品的一个漏洞。

爱游戏app下载

随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件有可能带给一连串“蝴蝶效应”,譬如去年全球仅次于的半导体代工制造商台积电工厂车祸“中毒”,导致工厂复工不说还害了要放新品的苹果,三天亏了10亿。而这次鼓动翅膀的是D-Link产品的一个漏洞。

这个D-Link 不愿修缮的高危漏洞2019年9月,集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 找到并向官方对系统了 D-Link 产品中不存在的一个并未许可命令流经漏洞(FG-VD-19-117/CVE-2019-16920)。攻击者可以利用该漏洞在设备上构建远程代码执行(RCE),且需要通过身份认证。该漏洞被标记为高危级别漏洞。

在 Fortinet 的报告中,不受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。失望的是,D-Link 回应这些产品已远超过服务周期(EOL),厂商会再为该问题获取补丁,换句话说,D-Link不愿为这些产品修缮这个补丁。被相当严重高估的影响面然而不久前,360安全性研究院团队对该漏洞展开了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件展开全面扫瞄后,找到这个D-Link不愿修缮的高危漏洞,影响面被相当严重高估了!找到众多疑为不受漏洞影响的设备固件后,FirmwareTotal还需要更进一步批量动态仿真固件、自动化继续执行漏洞检验POC,最后证实漏洞的不存在:最后经过360安全性研究院团队检验,该漏洞背后的真凶是,13个 D-Link 有所不同型号中的58个版本固件,都不存在该漏洞。在证实该安全性问题后,360安全性研究院团队第一时间通报了厂商。

日前D-Link已在安全性通报中改版了漏洞影响范围(https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124)。这不是第一个,也会是最后一个类似于D-Link这样的事件,不是第一个,也会是最后一个。过去,360安全性研究院团队基于大规模固件数据做到了很多的分析工作,找到第三方组件重复使用的问题在固件研发过程中十分广泛。

爱游戏app下载

就如下图右图,一个第三方的库,经常被上千个固件所用于。这意味著一旦该库文件经常出现安全性问题,将不会影响成千上万的固件和涉及设备。比如 openssl 的心脏滴血漏洞、 Busybox 的安全漏洞等。大多数厂商都在他们的有所不同产品里共用类似于的供应链代码,还包括在已完结生命周期的老设备和刚刚公布的新设备里,往往也用于着相近的代码库。

当安全性问题经常出现时,如果只看见杨家设备已暂停反对,就暂停脚步,而不去更进一步探究新的设备否还在用于这些代码库,将不会带给许多安全性风险。特别是在路由器产品之外的领域,比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业掌控设备等,一旦被黑客抢先一步找到类似于的潜在缺失,将不会对正在运营中的大量关键设备导致根本性威胁。在上图中是 2019 年 Busybox1.30.0 及之前版本不存在的漏洞,还包括 CVE-2019-5747和 CVE-2019-20679 等。有十分多的固件用于了Busybox组件,并且大部分用于的都是1.30.0之前的版本。

经过360安全性研究院团队从数万个固件样本中统计资料,96%的固件都用于了1.30.0之前的版本。这不会造成各种类型的设备都不受其影响,还包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全性路由器等。这本质上是一个信息不平面带给的根本性安全性威胁问题,通过FirmwareTotal则可以为厂商获取一种“看到的能力”,避免信息不平面,以及解决问题其带给的潜在威胁问题。版权文章,予以许可禁令刊登。

爱游戏app下载

下文闻刊登须知。


本文关键词:这个,D-Link,不愿,修复,的,高危,漏洞,影响面,被,爱游戏app下载

本文来源:爱游戏app下载-www.hnhsw.com

Copyright © 2003-2022 www.hnhsw.com. 爱游戏app下载科技 版权所有 备案号:ICP备13372527号-5

在线客服 联系方式 二维码

服务热线

040-173258618

扫一扫,关注我们