‘新京葡萄京’这个D-Link不愿修复的高危漏洞，影响面被严重低估了！

随着网络空间的规模和行动不断扩大，其与日常生活日益交织。往往在网络空间一起微小的安全事件有可能带给一连串“蝴蝶效应”，譬如去年全球仅次于的半导体代工制造商台积电工厂车祸“中毒”，导致工厂复工不说还害了要放新品的苹果，三天亏了10亿。而这次鼓动翅膀的是D-Link产品的一个漏洞。

这个D-Link 不愿修缮的高危漏洞2019年9月，集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 找到并向官方对系统了 D-Link 产品中不存在的一个并未许可命令流经漏洞（FG-VD-19-117/CVE-2019-16920）。攻击者可以利用该漏洞在设备上构建远程代码执行（RCE），且需要通过身份认证。该漏洞被标记为高危级别漏洞。

在 Fortinet 的报告中，不受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。失望的是，D-Link 回应这些产品已远超过服务周期（EOL），厂商会再为该问题获取补丁，换句话说，D-Link不愿为这些产品修缮这个补丁。

被相当严重高估的影响面然而不久前，360安全性研究院团队对该漏洞展开了深入分析，提炼出漏洞识别模式后，通过自研的 FirmwareTotal 对全网二十多万的固件展开全面扫瞄后，找到这个D-Link不愿修缮的高危漏洞，影响面被相当严重高估了！找到众多疑为不受漏洞影响的设备固件后，FirmwareTotal还需要更进一步批量动态仿真固件、自动化继续执行漏洞检验POC，最后证实漏洞的不存在：最后经过360安全性研究院团队检验，该漏洞背后的真凶是，13个 D-Link 有所不同型号中的58个版本固件，都不存在该漏洞。在证实该安全性问题后，360安全性研究院团队第一时间通报了厂商。日前D-Link已在安全性通报中改版了漏洞影响范围（https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124）。

这不是第一个，也会是最后一个类似于D-Link这样的事件，不是第一个，也会是最后一个。过去，360安全性研究院团队基于大规模固件数据做到了很多的分析工作，找到第三方组件重复使用的问题在固件研发过程中十分广泛。就如下图右图，一个第三方的库，经常被上千个固件所用于。这意味著一旦该库文件经常出现安全性问题，将不会影响成千上万的固件和涉及设备。

比如 openssl 的心脏滴血漏洞、 Busybox 的安全漏洞等。大多数厂商都在他们的有所不同产品里共用类似于的供应链代码，还包括在已完结生命周期的老设备和刚刚公布的新设备里，往往也用于着相近的代码库。

当安全性问题经常出现时，如果只看见杨家设备已暂停反对，就暂停脚步，而不去更进一步探究新的设备否还在用于这些代码库，将不会带给许多安全性风险。特别是在路由器产品之外的领域，比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业掌控设备等，一旦被黑客抢先一步找到类似于的潜在缺失，将不会对正在运营中的大量关键设备导致根本性威胁。

在上图中是 2019 年 Busybox1.30.0 及之前版本不存在的漏洞，还包括 CVE-2019-5747和 CVE-2019-20679 等。有十分多的固件用于了Busybox组件，并且大部分用于的都是1.30.0之前的版本。

经过360安全性研究院团队从数万个固件样本中统计资料，96%的固件都用于了1.30.0之前的版本。这不会造成各种类型的设备都不受其影响，还包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全性路由器等。这本质上是一个信息不平面带给的根本性安全性威胁问题，通过FirmwareTotal则可以为厂商获取一种“看到的能力”，避免信息不平面，以及解决问题其带给的潜在威胁问题。

版权文章，予以许可禁令刊登。下文闻刊登须知。

本文来源：新京葡萄京-www.agentangkasnet303.com