网络安全事件
28.Sep.2021
软件弱点再次成为黑客箭靶 该如何防范供应链安全风险?
一个由综合接入设备(IAD)上发现的安全问题,最终影响数百万台设备的弱点
这个影响了数十个品牌,百万台设备的风险来源是一个path traversal类型的弱点。Path Traversal类型的弱点是让黑客可以绕过验证,浏览受害主机上的众多目录,一旦攻破即可获取受害主机的控制权,更甚至是获取管理员(root)权限。也正因如此,CVE-2021-20090弱点的CVSS v3分数高达9.8分。
Path Traversal弱点是指使用者可透过特殊字符组合的特定字符串,脱离原本限制可存取的档案路径,直接存取任意路径的档案。以CVE-2021-20090为例,受影响产品的网页管理界面有部分的目录被设定为免过滤清单(bypass list),在免过滤清单内(如:/images, /js, /css)的档案不需经过身份验证即可直接存取,导致攻击者可在URL内加入免过滤清单的目录路径,产品的网页管理界面便不会针对该HTTP请求进行身份验证,再利用Path Traversal手法存取其他需经过身份验证才能存取的页面。以http:///info.htm为例,通过身份验证后的使用者可藉由该页面取得系统运作信息,如果攻击者在未登入的情况下直接存取后,页面会被重新导向登入页面,但攻击者可利用绕过身份验证的方式取得系统信息。
由于这个弱点的高可利用性,目前已经有黑客组织开始利用来散布一些像是Mirai等的病毒来攻击相关产品。
针对这类弱点的修补方法,除了需要进行输入字符串的检查之外,受影响的产品在连接管理机制上也出现了问题,应该透过Session ID检查使用者的状态,而不是使用IP地址检查使用者是否为验证通过的使用者。
Path Traversal弱点是指使用者可透过特殊字符组合的特定字符串,脱离原本限制可存取的档案路径,直接存取任意路径的档案。以CVE-2021-20090为例,受影响产品的网页管理界面有部分的目录被设定为免过滤清单(bypass list),在免过滤清单内(如:/images, /js, /css)的档案不需经过身份验证即可直接存取,导致攻击者可在URL内加入免过滤清单的目录路径,产品的网页管理界面便不会针对该HTTP请求进行身份验证,再利用Path Traversal手法存取其他需经过身份验证才能存取的页面。以http:///info.htm为例,通过身份验证后的使用者可藉由该页面取得系统运作信息,如果攻击者在未登入的情况下直接存取后,页面会被重新导向登入页面,但攻击者可利用绕过身份验证的方式取得系统信息。
由于这个弱点的高可利用性,目前已经有黑客组织开始利用来散布一些像是Mirai等的病毒来攻击相关产品。
针对这类弱点的修补方法,除了需要进行输入字符串的检查之外,受影响的产品在连接管理机制上也出现了问题,应该透过Session ID检查使用者的状态,而不是使用IP地址检查使用者是否为验证通过的使用者。
芯片中的弱点也逐渐成为软件供应链安全中不可忽视的一环
除了终端产品面临软件弱点的影响外,近期芯片的安全弱点议题也逐渐增多,这是由于现今芯片开发商为满足各式各样的需求,SoC(System On Chip)的芯片即应需求而生。SoC往往包含多种的功能,就像是将一个小型的系统整合在单一芯片中,更方便、快速地提供给不同产业的产品制造商,但不可避免的是:开始产生多个信息安全风险;近期一间芯片大厂所生产的SoC芯片就被发现有多项安全弱点(CVE-2021-35392,CVE-2021-35393,CVE-2021-35394,CVE-2021-35395),让黑客能够任意利用这些弱点在系统上进行攻击。
其中,CVE-2021-35394 及CVE-2021-35395皆为CVSSv3 9.8分的高危害风险:
- CVE-2021-35394中黑客可利用 UDPServer MP 中的Buffer over flow及Command Injection 弱点进行攻击。
- CVE-2021-35395影响的是SDK的Web界面,更是存在多个Buffer over flow的弱点,目前已经发现僵尸网络程序Mirai同样开始利用此弱点攻击被影响的IoT装置。
- CVE-2021-35392/CVE-2021-35393分别有Heap buffer overflow 及Stack buffer overflow的弱点对应到UPnP 及 SSDP的服务,这两个CVEs在CVSS的评级上虽然较前两个弱点稍低为8.1分,但UPnP却是众多设备商经常使用的服务,因此仍然不可忽视其对供应链的影响。
软件供应链安全(Software Supply Chain Security)
从上述两个案例来看,在产品开发过程中,由于代码设计的缺陷、来自第三方套件弱点等原因,皆可能导致最终产品中的弱点被恶意利用,造成企业实质与名誉上的损失。
现行的软件供应链(Software Supply Chain)在全球间已经是错综复杂,环环相扣,任何一个环节产生的信息安全风险都可能造成巨大的影响,并在最终造成超乎想象的涟漪效应;如同文中这两个事件中众多厂牌、不同型号的产品涵盖了家用闸道器、网络共享器、WiFi中继器、网络摄影机(IP CAM),甚至是一些IoT玩具。都采用了具有相同弱点的供应来源,复杂供应链关系最终导致这些弱点影响数以百万设备。
为预防及快速反应此类信息安全事件,企业内部需要提前建立好信息安全管理流程,完善规划产品的信息安全检测,或在信息安全事件发生后采取正确步骤。然而大部分的企业尚未或是没有资源建立这样的机制。在初步阶段,最重要的是能以最有经济效益的方式,快速建立基本信息安全防护能量,防范类似的事件发生,其中最有效的方式之一是透过导入自动化产品并取得国际认可。
现行的软件供应链(Software Supply Chain)在全球间已经是错综复杂,环环相扣,任何一个环节产生的信息安全风险都可能造成巨大的影响,并在最终造成超乎想象的涟漪效应;如同文中这两个事件中众多厂牌、不同型号的产品涵盖了家用闸道器、网络共享器、WiFi中继器、网络摄影机(IP CAM),甚至是一些IoT玩具。都采用了具有相同弱点的供应来源,复杂供应链关系最终导致这些弱点影响数以百万设备。
为预防及快速反应此类信息安全事件,企业内部需要提前建立好信息安全管理流程,完善规划产品的信息安全检测,或在信息安全事件发生后采取正确步骤。然而大部分的企业尚未或是没有资源建立这样的机制。在初步阶段,最重要的是能以最有经济效益的方式,快速建立基本信息安全防护能量,防范类似的事件发生,其中最有效的方式之一是透过导入自动化产品并取得国际认可。
如何做好信息安全事件预防及处理
物联网装置国际认证
目前国际上已有多个组织或单位推出针对物联网的安全评估标准,例如美国CTIA的IoT信息安全标准、欧盟ETSI的303-645、英国GSMA IoT信息安全评估、以及国际通用的ioXt物联网信息安全认证,物联网设备制造商可以很容易地藉由取得这些国际信息安全认证,来提升产品的安全质量与强度,又可提升国际竞争力,可说是非常有效益与帮助的。仲至信息是多个国际组织认可的物联网信息安全检测实验室,可提供本土化的服务,协助客户快速取得产品认证。
SecDevice
仲至信息的SecDevice弱点检测自动化工具,提供Path traversal检测项目,可以找出设备是否存在CVE-2021-20090此类型的安全风险,并且让制造商能在产品出厂前就进行修正及预防。SecDevice亦能进行已知弱点扫描及未知弱点的模糊测试(Fuzz Testing),协助提前找出相关的安全风险。
SecSAM
SecSAM开源软件风险管理系统,透过软件物料清单(SBoM)的概念,管理产品的固件、软件元件信息,并协助厂商提高软件供应链透明度,建立软件安全清单(Cybersecurity BOM,CBOM),可帮助厂商管理产品所使用的元件、弱点(CVE)等信息,当信息安全部事件发生时,能实时了解自家产品中是否有相应的弱点,提早在危害进一步扩大前进行回应与处理。
Reference:
https://zh-tw.tenable.com/security/research/tra-2021-13?tns_redirect=true
https://www.ithome.com.tw/news/146091
https://nosec.org/home/detail/4822.html
https://www.ithome.com.tw/news/146236
https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/
Reference:
https://zh-tw.tenable.com/security/research/tra-2021-13?tns_redirect=true
https://www.ithome.com.tw/news/146091
https://nosec.org/home/detail/4822.html
https://www.ithome.com.tw/news/146236
https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/
