【用家注意】變種Mirai又攻擊D-Link產品 下架NAS裝置不獲安全更新
有網絡安全公司在 4 月初發表有關 D-Link 產品的安全報告,內裡指出對方一些已停產的 NAS 裝置存在嚴重安全漏洞,不過由於產品已下架多時,因此廠方亦未有提供安全更新的打算。報道刊登兩日,安全機構便發現有黑客積極利用漏洞入侵,將大量 D-Link NAS 變成殭屍大軍,受影響的裝置多達 9.2 萬,建議用家即時將裝置斷網,並考慮升級新裝置先好使用。
發現這個安全漏洞的是 Netsecfish 安全研究人員,據知漏洞發生在兩方面,一是韌體存在一個 hardcoded 的帳戶登入名稱 messagebus,使用這個帳戶登入毋須輸入任何密碼,其次是系統參數容許遙距注入編碼,只要同時利用,便可在 D-Link 受影響的 NAS 裝置包括 DNS-340L、DNS-320L、DNS-327L 和 DNS-325 等之上執行惡意功能。
正如上文所述,D-Link 被通知後,已回應不會修補漏洞,只建議用家換新機或至少將裝置更新至官方最後發布的韌體版本,因此研究員便按照慣例公開漏洞詳情。
事隔兩日,安全公司 GreyNoise 及威脅監控平台 ShadowServer 便留意到有黑客正在瘋狂利用漏洞,在受影響裝置上安裝變種 Mirai 殭屍程式,一旦被入侵,黑客可將裝置應用於日後的大規模分散式阻斷服務(DDoS)攻擊外,還可竊取內裡的私隱資料及變更網絡設定。
其實 D-Link 並非第一次被 Mirai 攻擊,除了數個月前的變種 Mirai IZ1H9,兩年前另一隻變種 Mirai MooBot 亦是乘著 D-Link 上網裝置被發現安全漏洞,於是搶在用家安裝更新檔前大舉進攻,不過這次因為出現漏洞的是已停產 NAS 裝置,所以用家就算想補救都無其他方法,只有升級新產品才是唯一出路。
從這次事件亦可見,黑客比用家更關心安全機構發表的漏洞報告,一來可以減低攻擊成本,二來亦因為競爭激烈,越遲出手,便越有可能會被行家搶先一步。雖然 NAS 裝置依然可用,但考慮到保護私隱問題,點都應該買新機。