News

LEADING BRAND IN SECURITY ASSESSMENT - ONWARD

軟體弱點再次慘成駭客箭靶 該如何防範供應鏈安全風險?

2021 / 09 / 28

一個由綜合接入設備(IAD)上發現的安全問題,最終卻影響數百萬台設備的弱點

這個影響了數十間廠牌,百萬台設備的風險來源是一個path traversal類型的弱點。Path Traversal類型的弱點讓駭客可以繞過驗證,瀏覽受害主機上的眾多目錄,一旦攻破即可獲取受害主機的控制權,更甚而是超級使用者(root)權限,也正因如此,CVE-2021-20090弱點的CVSS v3分數高達9.8分。

Path Traversal弱點是指使用者可透過特殊字元組合的特定字串,跳脫原本限制可存取的檔案路徑,直接存取任意路徑的檔案。以CVE-2021-20090為例,受影響產品的網頁管理介面有部分的目錄被設定為例外清單(bypass list),在例外清單內(如:/images, /js, /css)的檔案不需經過身分驗證即可直接存取,導致攻擊者可在URL內加入例外清單的目錄路徑,產品的網頁管理介面便不會針對該HTTP請求進行身分驗證,再利用Path Traversal手法存取其他需經過身分驗證才能存取的頁面。以http:///info.htm為例,通過身分驗證後的使用者可藉由該頁面取得系統運作資訊,如果攻擊者在未登入的情況下直接存取後,頁面會被重新導向登入頁面,但攻擊者可利用繞過身分驗證之方式取得系統資訊。

由於這個弱點的高可利用性,目前已經有駭客組織開始利用來散布一些像是Mirai等的病毒來攻擊相關產品。

針對這類弱點的修補方法,除了需要進行輸入字串的檢查之外,受影響的產品在連線管理機制上也出現了問題,應該透過Session ID檢查使用者的狀態,而不是使用IP位址檢查使用者是否為驗證通過的使用者。

晶片中的弱點也成逐漸成為軟體供應鏈安全中不可忽視的一環

除了終端產品面臨軟體弱點的影響外,近期晶片的安全弱點議題也逐漸增加,這是由於現今晶片開發商為滿足各式各樣的需求,SoC(System On Chip)的晶片即因應而生;SoC往往包含多種的功能,就像是將一個小型的系統整合在單一晶片中,以更方便、快速的提供給不同產業的產品制造商,但不可避免的即是開始產生多個資安風險;近期一間晶片大廠所生產之SoC晶片即被發現有多項安全弱點(CVE-2021-35392,CVE-2021-35393,CVE-2021-35394,CVE-2021-35395),讓駭客能夠任意利用這些弱點在系統上進行攻擊。

其中,CVE-2021-35394 及CVE-2021-35395皆為CVSSv3 9.8分的高危害風險:

  • CVE-2021-35394中駭客可利用 UDPServer MP 中的Buffer over flow及Command Injection 弱點進行攻擊。
  • CVE-2021-35395影響的是SDK的Web介面,更是存在多個Buffer over flow的弱點,目前已經發現殭屍網路程式Mirai同樣開始利用此弱點攻擊被影響的IoT裝置。
  • CVE-2021-35392/CVE-2021-35393分別有Heap buffer overflow 及Stack buffer overflow的弱點對應到UPnP 及 SSDP的服務,這兩個CVEs在CVSS的評級上雖然較前兩個弱點稍低為8.1分,但UPnP卻是眾多設備商經常使用的服務,因此仍然不可忽視其對供應鏈的影響。

軟體供應鏈安全(Software Supply Chain Security)

從上述兩個案例來看,在產品開發過程中,由於程式碼設計的缺陷、來自第三方套件弱點等原因,皆可能導致最終產品中的弱點被惡意利用,造成企業實質與名譽上的損失。

現行的軟體供應鏈(Software Supply Chain)在全球間已經是錯綜複雜,環環相扣,任何一個環節產生的資安風險都可能造成巨大的影響,並在最終造成超乎想像的漣漪效應;如同文中這兩個事件中眾多廠牌、不同型號的產品涵蓋了家用閘道器、網路分享器、WiFi中繼器、網路攝影機(IP CAM),甚至是一些IoT玩具。都採用了具相同弱點之供應來源,複雜供應鏈關係最終導致這些弱點影響數以百萬設備。

為預防及快速反應此類資安事件,企業內部需要提前建立好資安管理流程,完善規劃產品的資安檢測,或在資安事件發生後採取正確步驟。然而大部分的企業尚未或是沒有資源建立這樣的機制。在初步階段,最重要的是能以最有經濟效益的方式,快速建立基本資安防護能量,防範類似的事件發生,其中最有效的方式之一是透過導入自動化產品並取得國際認可。

Software Supply Chain Security

如何做好資安事件預防及處理

物聯網裝置國際認證
目前國際上已有多個組織或單位推出針對物聯網的安全評估標準,例如美國CTIA的IoT資安標準、歐盟ETSI的303-645、英國GSMA IoT資安評估、以及國際通用的ioXt物聯網資安認證,物聯網設備製造商可以很容易的藉由取得這些國際資安標章,來提升產品的安全品質與強度,又可提升國際競爭力,可說是非常有效益與幫助的。安華聯網為多個國際組織認可的物聯網資安檢測實驗室,可提供在地化的服務,協助客戶快速取得產品認證。

SecDevice
安華聯網的SecDevice弱點檢測自動化工具,提供Path traversal檢測項目,可以找出設備是否存在CVE-2021-20090此類型的安全風險,並且讓製造商能在產品出廠前就進行修正及預防。SecDevice亦能進行已知弱點掃描及未知弱點之模糊測試(Fuzz Testing),協助提前找出相關的安全風險。

SecSAM
SecSAM開源軟體風險管理系統,透過軟體物料清單(SBoM)的概念,管理產品的韌體、軟體元件資訊,並協助廠商提高軟體供應鏈透明度,建立軟體安全清單(Cybersecurity BOM,CBOM),可幫助廠商管理產品所使用之元件、弱點(CVE)等資訊,當資安事件發生時,能即時瞭解自家產品中是否有相應之弱點,提早在危害進一步擴大前進行回應與處理。
 

Reference:
https://zh-tw.tenable.com/security/research/tra-2021-13?tns_redirect=true
https://www.ithome.com.tw/news/146091
https://nosec.org/home/detail/4822.html
https://www.ithome.com.tw/news/146236
https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/