关注网络安全
和行业未来

调查显示:450万设备使用共享加密私钥且数量正急剧上升

一家奥地利咨询公司SEC Consult的研究人员称,自从去年11月该公司开始关注以来,互联网上共用密钥和证书的网关、路由器、调制解调器和其他嵌入式设备的数量上升了40%。

fotolia_91105001_l

   这份星期二发布的名为《密钥之家》的报告警告,使用已知私钥的设备数量急剧上升,这是由于HTTPS服务器证书容易引发“中间人攻击”数量的大幅增加,而“中间人攻击”会导致更广泛的入侵。报告称,在过去9个月中,这一数量已经从320万增加到450万。

   “这个现象有很多种解释。销售商无力为其产品(包括但不限于遗留和停产产品)的安全漏洞提供补丁可能是一个重要因素,但是,即便有可用的补丁,嵌入式系统也极少安装。”SEC Consult公司的高级安全咨询专家Stefan Viehböck在一篇博客中写道。

   去年年底,SEC Consult公司发起了一项研究,分析了70家销售商的超过4000种嵌入式设备固件中的加密SSH公钥、私钥和X.509证书。SEC Consult公司的上述发现反映了这项研究的成果。

   SEC Consult公司在其最新的报告中说,星期二发布的数据涉及331个含有配套私钥的证书以及553个个人私钥。重新检查证书和密钥验证了旧的问题;根据SEC Consult公司的报告,在互联网上,仍有50万台设备在使用博通公司的软件开发工具包中的“Daniel”证书,28万台设备使用Multitech或德州仪器公司的证书。

   SEC Consult公司还在多种阿尔卡特-朗讯公司的OmniAccess交换机固件上发现新的问题证书和私钥。

   “与我们找到的其他大部分证书相反,这个证书是由一个安全浏览器认证机构GeoTrust签发给‘securelogin.arubanetworks.com’网站的,有效期到2017年8月,”Viehböck说。“我们发现Aruba Networks公司是阿尔卡特-朗讯公司OmniAccess系列产品的制造商。该证书是ArubaOS 系统的一部分,并应用于多款Aruba Networks公司产品。在互联网上49000台设备正在使用这一证书。”

   SEC Consult公司还说,ArubaOS 系统证书既是默认的HTTPS服务器证书(用于强制主页和web管理),又是WPA2-Enterprise 801.X的默认认证方式。“这使攻击者可以随意进行恶意MITM 攻击(用于主动或被动HTTPS 解密、虚假接入点等)。”Viehböck写道。

   尽管在报告中也有好消息,但却不易实现。这样的例子是,设备制造商Ubiquity Networks公司将使用不可靠SSH密钥和HTTPS证书的网络设备减产62%。“坏消息是,这一大幅减产很可能是由针对有缺陷证书和重大漏洞进行攻击的僵尸网络引起的,这类漏洞包括一种叫做‘任意文件上传’的漏洞,可以运用Metasploit 模块通过简单的远程代码执行过程对其进行攻击。”Viehböck说。

   SEC Consult公司的报告显示,Ubiquiti 公司的技术支持论坛挤满了疲于应付客户设备上恶意软件的人。“这些僵尸网络可能迫使Ubiquiti 公司的客户为他们的设备安装防火墙。”Viehböck 写道。

   SEC Consult公司在报告中还暗示,一些销售商可能已经开始察觉这个问题。在一个案例中,Viehböck 引述一个阿尔卡特-朗讯公司OmniAccess产品线安全人员的网帖称:

   “过去我们相信‘证书过于复杂,使用设备出厂时的默认证书就足够了,关心安全的客户才会去升级’这种观点,但现在我认为我们给了客户太多束缚,这伤害了他们。”

   SEC Consult公司说,补救的建议和9个月前完全相同。SEC Consult公司建议设备制造商确认每一台设备都使用随机的、唯一的密钥,还建议互联网服务提供商确认可以通过广域网端口对通用平台列举(CPE)系统进行远程访问。最后,SEC Consult公司建议最终用户将SSH主机密钥和X.509证书更换为专门为其设备定制的。

   “公开发布私钥并非那么轻松,因为这会使全球的攻击者大规模利用这一漏洞。但我们认为,任何坚定的攻击者都能像我们一样进行研究,并从可公开获取的固件中轻易得到私钥。”Viehböck 写道。

来源:threatpost

评论 抢沙发