FIND研究員:李啟榮
通用漏洞披露(Common Vulnerabilities and Exposures, CVE)為資安業界常見的威脅指標之一,藉由分析數據機、路由器、物聯網裝置等漏洞,評估駭客利用漏洞所造成的影響規模,進行威脅指標評分。本研究藉由介紹數據機常見CVE漏洞,並配合案例說明,來探討CVE漏洞對數據機的影響,並依照CVE威脅指標對數據機業者提出安全性建議、改善數據機安全性。
【CVE通用漏洞披露概說:八大威脅面向、五級威脅指標】
CVE係由美國聯邦非營利組織MITRE,蒐集世界各地連網裝置發生的軟硬韌體漏洞;後來美國NIST旗下「國家弱點資料庫(National Vulnerability Database, NVD)」也採納了CVE指標,並以科學化計算方式,分析個別漏洞大小不等的嚴重程度,建立「通用漏洞評分系統(Common Vulnerabilities Scoring System, CVSS)」。
NVD於2019年依據2015年CVSS 3.0版修訂的最新版CVSS 3.1中,將CVE弱點影響程度,分成以下八種因素:
1.來襲方向(Attack Vector, AV):探討攻擊來源所在,包含網際網路、鄰近網路(如Wi-Fi、藍牙、LAN)、本機端
2.攻擊複雜度(Attack Complexity, AC):依據駭客的入侵難度分為高中低三級
3.權限提升需求(Privileges Required, PR):駭客是否需要取得更高一層的系統權限,發動更深入的攻擊活動
4.使用者操作需求(Interaction Required, IR):攻擊行動是否需要其他使用者觸發,例如網路釣魚、社交工程、觸發惡意指令等
5.影響範圍(Scope):漏洞是否只會影響到受害裝置本身,或者影響到與受害裝置串接的其他裝置
6.機密性影響(Confidentiality):駭客是否能存取敏感個資,甚至進行介入竄改等攻擊活動
7.完整性影響(Integrity):駭客針對漏洞攻擊後,裝置的管理權限是否被駭客全面攻破
8.可用性影響(Availability):駭客針對漏洞攻擊後,裝置是否能繼續正常運作
使用者可根據CVSS八項指標中不同程度的危險層級,經由公式計算,得出五種不同等級的威脅指數,來評估個別CVE漏洞的嚴重程度和損害規模。
1.無危險級:0
2.低危險級:1~3.9
3.中危險級:0~6.9
4.高危險級:0~8.9
5.嚴重級:0~10.0
藉由實施CVSS八種因素各自的危險程度分析,並利用科學化計算方法得到量化威脅指數,可協助數據機等連網裝置,藉由威脅指數來反映自身裝備漏洞的嚴重程度多寡,藉此提醒數據機業者應儘速進行補救與改善措施,並對使用者提出安全操作方法建議,減少高危險漏洞對數據機本身和使用者的衝擊和損害。
【數據機CVE個案說明:Cable Haunt、中華電信數據機】
對數據機業者而言,由於數據機肩負起內外網資料、訊息、指令相互傳輸的橋樑,數據機上被披露的漏洞除了讓駭客能破解數據機安全機制、控制數據機關鍵功能、竊取數據機敏感資訊以外,更能進一步入侵與數據機串接的內網連網裝置,發起更深入、更廣泛的攻擊活動。
因此,本研究藉由數據機CVE案例介紹,來探討CVE漏洞對數據機的影響,並以Cable Haunt、中華電信兩個實際案例進行如後說明。
一、CVE-2019-19494/19495 "Cable Haunt"
本案例由丹麥資安團隊Lyrebirds,於2019年12月在採用博通(Broadcom)晶片的Sagemcom、Netgear、Technicolor、COMPAL四家歐洲數據機產品所發現;根據Lyrebirds指出,Cable Haunt漏洞是一種駭客藉由變造的JSON發動遠端攻擊,造成數據機緩衝區溢位(Buffer overflow),使駭客能從遠端控制數據機,執行惡意程式。
而Cable Haunt漏洞被駭客開採,並奪取數據機後,可進行如下攻擊活動:
1.竄改預設DNS伺服器
2.發動中間人攻擊
3.竄改韌體機碼
4.上傳、更新與覆寫韌體而不被察覺
5.切斷ISP韌體升級
6.竄改所有數據機參數
7.獲取並設置SNMP OID數值
8.竄改所有跟數據機串接的MAC位置
9.竄改數據機序號
10.奪取數據機當作殭屍網路媒介
另根據CVE所登錄的CVSS v3威脅指標,將Cable Haunt的威脅指數評定為8.8(高危險級),並列舉如下威脅指標:
1.來襲方向:網路攻擊
2.攻擊複雜度:低
3.權限提升需求:無
4.使用者操作需求:無
5.影響範圍(Scope):僅限於發生漏洞之裝置
6.機密性影響:高
7.完整性影響:高
8.可用性影響:高
由於數據機依存於ISP提供的網路連線,並經由ISP進行線上韌體更新,再加上四家採用博通晶片的數據機都採用博通的相似設計。據Lyrebirds估計,Cable Haunt的受害規模多達兩億臺,雖隨即通報ISP儘速修補漏洞;但Lyrebirds也指出,由於尚未有更進一步獲得確認的已知漏洞修補訊息,上述攻擊動作可能只是冰山一角,需要做更長期的後續追蹤。
二、CVE-2019-13411/13412(中華電信Port 3097漏洞)
2019年11月,臺灣資安工作團隊Devcore的專家蔡政達,於中華電信提供的寬頻數據機發現致命漏洞。蔡政達藉由實施攻擊行為的概念驗證,察覺中華電信數據機上的Port 3097,有直接中華電信骨幹網路的攻擊途徑;而駭客可藉由Port 3097進入數據機管理介面,並以Script指令注入來獲取僅採用預設防護的系統密碼,再利用數據機If-else邏輯的Fallback機制,輸入不受系統支援的指令並附加攻擊字串,達成攻擊數據機的目的,以實施流量側錄、密碼與個資竊取、遠端入侵連網裝置、配合紅隊演練(模擬入侵)來規避白名單政策等攻擊活動。
此一漏洞由於發生在中華電信機房和數據機之間的Port 3097連線,加上管理介面安全參數設定之嚴重缺失,使得駭客可用較低的技術門檻發動大規模攻擊;依據CVE所登錄的CVSS v3威脅指標,將中華電信於Port 3097出現的字串處理漏洞CVE-2019-13411的威脅指數評定為9.8(嚴重級),並列舉如下威脅指標:
1.來襲方向:網路攻擊
2.攻擊複雜度:低
3.權限提升需求:無
4.使用者操作需求:無
5.影喜範圍(Scope):僅限於發生漏洞之裝置
6.機密性影響:高
7.完整性影響:高
8.可用性影響:高
另外CVE-2016-13412漏洞,可允許攻擊者執行特定指令並讀取所有的檔案,威脅指數7.5(中危險級),威脅指標如下:
1.來襲方向:網路攻擊
2.攻擊複雜度:低
3.權限提升需求:無
4.使用者操作需求:無
5.影喜範圍(Scope):會影響到其他相關裝置
6.機密性影響:高
7.完整性影響:無
8.可用性影響:無
中華電信在本次重大數據機漏洞事故中,由於漏洞位置明確、後臺管理介面的帳號密碼不設防,使駭客能用簡單的方式奪取數據機控制權,並竄改數據機參數、盜取使用者帳號密碼,令成千上萬用戶暴露在危險之中,且漏洞也會影響與數據機串接的連網裝置,牽一髮而動全身而Devcore團隊也研判Port 3097漏洞影響上百萬臺家用數據機的安全性,並立刻通報中華電信儘速修補,釋出韌體更新檔以預防後續更大規模、更深入的影響。
【小結】
由於數據機除了擔任內網與外網的中介橋樑,並藉由與連網裝置串接的功能,成為連網裝置與外界交換指令和訊息的閘道;資安專家針對數據機漏洞依據CVE攻擊指標加以分析後,指出數據機安全防護上的常見重大缺失,包含管理介面僅預設帳號密碼明文儲存、未封鎖不必要連接埠等等,並藉由實際攻擊行為演示來提醒ISP和數據機使用者,漏洞對數據機本身和其串聯之連網裝置之威脅。
因此,數據機業者除了要依據資安專家建議進行漏洞修補外,也要配合ISP從源頭防杜駭客的第一波攻擊,更重要的是協助使用者配合正確數據機參數調校和安全性設定等方式,中斷駭客成功入侵的最後一哩路。
資料來源:
1.Cable Haunt vulnerability. Retrieved April 28, 2020, from ZDNet: https://www.zdnet.com/article/hundreds-of-millions-of-cable-modems-are-vulnerable-to-new-cable-haunt-vulnerability/
2.(2020). Cable Haunt. Retrieved Aprill 27, 2020, from Lyrebirds: https://cablehaunt.com
3.(2019, June 17). Common Vulnerability Scoring System Calculator. Retrieved April 28, 2020, from National Vulnerability Database: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
4.(2018年10月20日). [Day 5] 這個漏洞有多嚴重? [上]. 2020年4月28日 擷取自 IT邦幫忙: https://ithelp.ithome.com.tw/articles/10203313
5.蔡政達. (2019年11月11日). 你用它上網,我用它進你內網!中華電信數據機遠端代碼執行漏洞. 2020年4月28日 擷取自 Devcore: https://devco.re/blog/2019/11/11/HiNet-GPON-Modem-RCE/
沒有留言:
張貼留言