上週國內外傳出有許多居易用戶的路由器設備無法連線,或是不斷重開機的現象,但究竟發生的原因為何?是軟體功能出錯,還是遭遇網路攻擊,一時之間無從得知,我們看到社群網站有IT人員聲稱透過韌體更新成功排除異常,根據國外媒體報導,有受到影響的網際網路服務供應商(ISP)猜測,這起事故很有可能是漏洞引起。直到3月25日,居易才坦承是遭遇漏洞攻擊造成。
在同日稍晚,居易發布重大訊息,表示他們的主要網站、MyVigor使用者網站遭到DDoS攻擊。對此,我們向居易進一步詢問兩者之間是否有關,該公司表示,他們認為這波是目標性攻擊,駭客不只鎖定已停止更新服務的路由器下手,攻擊已知漏洞,他們註冊的主機及網站也一併慘遭毒手。這種同時攻擊網路設備及製造商網站的情況,相當罕見。
我們最初得知這樣的情況,是看到3月23日、24日看臉書社群有人在討論,居易設備連線約自22日開始出現異常的情形,有些IT人員表示他們更新韌體就排除,有人指出必須暫時切斷WAN連線更新才會奏效,此外,有使用者上傳路由器不斷重新啟動的影片。
這樣的情況不只在臺灣發生,國外也出現相關災情,引起多家資安新聞媒體Bleeping Computer、SecurityAffair、Cybersecurity News報導。最早是新聞網站ISPreview於23日報導此事,指出英國有ICUK、Andrews & Arnold(A&A或AAISP)等多家網際網路服務供應商提出警告,他們注意到在住家或辦公室使用居易路由器的客戶出現斷線的情況,很有可能是某項「路由器弱點(router vulnerability)」引起。這兩家ISP表示在當地時間22日晚間21時30分察覺此事,並指出原因是執行存在已知弱點韌體的居易路由器。
24日有另一家ISP「Gamma」也發布公告,指出特定的CPE設備出現連線問題,疑似在廠商發布新版韌體之後出現。雖然公告內容並未提及居易,但ISPreview認為,這則公告與該廠牌路由器有關。此外,ISPreview取得越南經銷商An Phat的說法,得知當地也出現類似的連線異常情形。
同時居易也向ISPreview證實路由器連線中斷的情況,並提供故障排除的步驟。不過,他們並未說明是否為漏洞攻擊。
25日我們看到居易在國內透露新的訊息,首先他們於下午1時40分在臺灣臉書粉絲專頁表示,假如用戶的路由器不斷重開機,那表示是受到攻擊,必須更新韌體。他們也指出有其中4款機種受到影響,並提供對應的更新檔案。這是該公司首度在國內坦承設備遭到攻擊的情況。
接著他們在下午3時5分於股市公開觀測站發布重大訊息,表示他們的官方網站、MyVigor網站遭遇DDoS攻擊,他們已將所有受到影響的系統進行隔離。
對此,我們向居易進行確認,他們表示這起事故是「策略性攻擊」,駭客同時對該廠牌路由器設備及他們的網站下手。
而對於這波受到影響的路由器,居易表示都是超過8年以上的舊機種,用戶可能沒有套用相關更新,部分已經停止更新服務,其中,在臺灣受到影響的機種有6款,該公司強調,目前銷售的機型並未受到影響。
究竟駭客利用那些漏洞,居易並未直接說明,但指出相關漏洞已在去年8月至10月發布新版韌體修補。當時居易一共修補6項涉及阻斷服務(DoS)及遠端程式碼執行(RCE)的漏洞,其中CVE-2024-41334、CVE-2024-41339最危險,CVSS風險達到9.8分。
