在5月29日,刑事警察局公布有駭客集團的手法,是假防疫名義架設釣魚網站,並提到釣魚信的寄發,是透過一家不知情企業的無線分享器作為跳板轉發,而設備之所以成為跳板,根據刑事警察局說明,原因是無線分享器存在CVE-2019-19822及CVE-2019-19823的漏洞,遭駭客利用,導致設備管理者密碼被取得,進而被對方掌控,並被擅自設定VPN連線所造成。

因此,當時刑事局科技犯罪防制中心科技研發科強調,網路設備若未立即修補更新,恐造成資安缺口,對此,他們也函請該無線分享器廠商修補漏洞,同時也呼籲,要使用者重視連網設備的安全管理。

對於駭客掌控無線路由器、無線分享器等設備的風險,科技犯罪防制中心科技研發科股長黃翰文說明,由於特定廠牌的無線分享器有漏洞,這些產品具有的VPN功能若被偷偷開啟,駭客就可以用Windows提供的SSTP VPN連線方式,連至該分享器,並將設備做為跳板進行連線。

在上述事件中,由於刑事局揭露資訊有限,只說明企業的無線分享器遭利用,但沒有具體指出是哪些連網設備,但根據上述兩個CVE漏洞編號,我們可以找到存在風險的產品,避免自己成為下一受害者,而且刑事局已提及,近來發現5起以上的這類遭駭案例。

對於上述兩個漏洞,我們進一步找出了相關資訊,這是去年12月由研究人員Błażej Adamczyk所揭露,他來自波蘭西里西亞技術大學,過去曾數次揭露無線分享器的漏洞,包括華碩與D-Link的產品。

簡單來說,這次漏洞所影響的設備,是採用Realtek SDK的多家業者產品。以影響範圍與嚴重程度來看,Totolink產品用戶最需要注意,因為該公司受影響的產品,還有其他兩個漏洞,分別是CVE-2019-19824與CVE-2019-19825的漏洞,攻擊者可將這4個弱點串在一起利用,就能完全控制路由器。他估計,市面上有70萬設備受影響,其中並有7萬個裝置是易受攻擊的對象。

簡單來說,關於CVE-2019-19822、CVE-2019-19823漏洞的問題,根據研究人員Błażej Adamczyk的分析,上述兩個漏洞主要存在基於Realtek SDK的路由器系列,因此影響多個廠牌的產品,其中Totolink產品數量最多,共有8款受影響,其他還包括Sapido、CIK Telecom、KCTVJEJU、Fibergate、t-broad、Coship與IO-Data等廠商。以下為已知影響產品: 

●Totlink A3002RU , 702R  , N301RT  ,  N302R ,  N300RT , 200RE , N150RT與N100RE 
●Rutek RTK 11N AP 
●Sapido GR297n 
●CIK TELECOM MESH ROUTER
●KCTVJEJU Wireless AP
●Fibergate FGN-R2 
●Hi-Wifi MAX-C300N
●HCN MAX-C300N
●T-broad GN-866ac
●Coship EMTA AP
●IO-Data WN-AC1167R
possibly others.

在發現漏洞之後,他聯繫了多家廠商,包括Totolink、CIK Telecom、Sapido、 Fibergate與Coship,只有兩家廠商回應,但都沒有具體修復行動。之後,他在去年12月16日對外揭露這些漏洞。

後續,他在今年1月聯繫到臺廠瑞昱半導體(Realtek),對方在1月中旬回應,說明預設SDK配置並沒有問題,主要是大多數設備廠商修改了軟體,同時也包含身分驗證機制在內,才使之成為弱點。接下來,瑞昱又在1月23日說明修補狀況,將減少以明文形式存儲密碼的影響。

整體來看,由於這次的漏洞問題與瑞昱SDK有關,又影響到多家廠商的產品,顯然這樣的資安事件與供應鏈安全的議題有關。

對於用戶而言,各家設備廠商是否修補,也是我們關心焦點。由於Totolink受影響產品最多,面面俱到不易,因此我們挑了一款產品,例如N300RT,該產品在官網的最新韌體,是在2019年5月14日,至今年6月之前為止,並未發布更新,這也意謂業者尚未修補上述漏洞,因此設備用戶可能面臨無從修補的困境。

對於企業與一般用戶而言,無論如何,以刑事局公布的國內受害案例來看,主要目的,是揭露企業部署的無線分享器被駭客掌控的資安問題,也就是提醒用戶,必須注意這類產品的漏洞修補更新,以及業者維護狀態。

近期刑事警察局科技犯罪防制中心科技研發科表示,發現國內民眾與企業的網通設備淪為跳板,其原因是無線分享器存在CVE-2019-19822及CVE-2019-19823漏洞且遭駭客利用,導致設備被對方掌控,並被設定VPN作為跳板。因此,用戶本身的設備安全管理之外,產品業者是否持續有在修補漏洞維護設備安全,應是用戶採購設備時可能需要留意之處。

熱門新聞

Advertisement