香港互聯網設備的潛在漏洞
發佈日期: 2015年07月31日
2485 觀看次數
協調中心較早前出版的「香港家用路由器的保安問題」文章中探討了互聯網設備中最常見的家用路由器,因設定不善所帶來的安全風險。根據惠普研究揭示,70%的物聯網設備存在保安漏洞,平均每部設備都存在 25個保安漏洞,情況值得關注。
雖然這些保安漏洞可以透過更新設備的靱體去修補,但大部互聯網設備的靱體都不會經常更新,約一年才推出一次更新,而且設備的生命周期較短,生產商很快就推出取締產品,並停止提供舊產品的靱體更新。攻擊者會針對性地攻擊這些沒有修補保安漏洞的設備,目的是控制設備,盜取設備擁有者的敏感資料,並利用作為攻擊第三方的工具。
本中心使用 Shodan 互聯網服務搜尋器分析香港區內的互聯網設備的保安問題,並選擇了過去一年三個屬於嚴重級別的保安漏洞作分析:
- NetUSB漏洞
NetUSB 服務可以將各種的 USB 裝置,如打印機,網絡攝錄機,快閃記憶體及外置硬碟機等等,經內聯網或互聯絡分享給電腦或手機使用。市面上約百分之二十以上的互聯網設備都正使用此服務,但很不幸在2015年 5月研究人員發現了NetUSB 漏洞。遠端攻擊者可利用此漏洞執行任意的程式碼及進行阻斷服務攻擊。
我們在 7月10日進行了相關漏洞的搜尋,發現香港的問題並不嚴重,只發現 13 個設備向互聯網開放了 NetUSB 的服務。此服務大多使用在內聯網上,很少向互聯網開放,但如果有提供免費無線網絡的使用者就應多加留意,如無需要使用此服務,請在相關的設備上停用服務,以免被他人利用。 - Universal Plug and Play漏洞
Universal Plug and Play(UPnP) 是一種通訊協定,其主要功能是使設備可以自動連接到網絡並完成相關設定,方便用戶使用和管理。此協定由 1990 年開始已被廣泛應用在不同的互聯網設備上。它的漏洞十分多,但漏洞修補的速度十分慢,很多時產品在停產時也未能修補相關的漏洞。
我們在 7月10日進行了相關漏洞的搜尋,在香港互聯網上發現了 22,504 個設備開啟了 UPnP 的服務,當中13,694 是使用了 MiniUPnPd 來提供 UPnP 的服務,而8,177個約36% 的設備仍然使用最舊版本的 MiniUPnPd/1.0,MiniUPnPd/1.9 為現時最新版本。由於在版本 1.5 之前都存在嚴重的阻斷服務攻擊,而版本 1.0 更存在執行任意程式碼漏洞,所以建議大家關閉 UPnP 的服務。 - Misfortune Cookie 漏洞
Rompager是其中一個最受歡迎嵌入式網頁伺服器,主要應用於互聯網設備上的管理或資源分享介面等。它的漏洞在2014年12月發表,命名為Misfortune Cookie,因軟體的HTTP cookie管理機制出現一項錯誤,使攻擊者可利用此漏洞得到受影響設備的管理員身份和修改設備上的設定。版本在 4.34 之前都存在漏洞。
我們分別在2月17日和7月8日兩個時間進行了搜尋,檢查香港網絡內的情況,選擇這兩個時間並沒有關聯,完全是隨機進行的,相關的結果如下:
| UPnP 版本 | 被發現的數量 |
| miniupnpd/1.0 | 8,177 |
| miniupnpd/1.2 | 793 |
| miniupnpd/1.3 | 2,534 |
| miniupnpd/1.4 | 1,483 |
| miniupnpd/1.5 | 707 |
| Other/Unknown | 8,810 |
| 總數: | 22,504 |
| Rompager 的版本 | 第一次 | 第二次 |
| 使用安全版本的設備 | 689 | 775 |
| 使用含漏洞版本的設備 | 606 | 402 |
| 總數: | 1,295 | 1,177 |
在第一次搜尋中發現有1,295個設備使用了 Rompager 網頁伺服器,而當中有 606個使用存在漏洞的版本。第二次搜尋發現有 1177 個設備使用了 Rompager 網頁伺服器,有 402 個使用存在漏洞的版本。對比兩次的結果,存在漏洞的設備由總發現量的 47% 下降到 34%,下降了 13%,情況有所改善。
由於漏洞是存在在一個網頁伺服器的服務上,所以無必要的使用者請不要在互聯網設備上向外提供網頁伺服器的服務。
自我檢測的方法:
若大家想了解家中所使用的互聯網設備開啟了什麼服務,可以使用以下網址作檢測:
- 檢測開啟了的服務
ShieldsUP
SG Security Scan - 檢測是否開啟了 UPnP
UPnP Checker
給公眾的建議:
互聯網設備的安全經常被忽略,由於大部份使用者在完成第一次的設定後再沒有持續地管理自己家中互聯網設備,日子久了問題就會出現,協調中心建議大家如有使用互聯網設備,留意以下幾點:
- 更改出廠帳戶密碼及使用強密碼。
- 檢查出廠預設開啟的服務,包括向互聯網及內聯網,並關閉所有不常用或不必要的服務(如UPnP和NetUSB等)。
- 如非必要,不要向互聯網開啟任何服務。
- 請定期檢查生產商有否推出靱體更新,並為家中的互聯網設備定期更新。
- 選擇有信譽的生產商所出產的設備。
- 如生產商已停止支援,應考慮更換較新而有支援服務的型號。
香港大部份家庭都會安裝無線家用路由器,用戶可參考以下網站所提供的家用路由器檢查例表,檢查家中的路由器。
如想了解更多家用路由器的保安問題,可以瀏覽本中心的文章 “香港家用路由器的保安問題”。
分享至