近40款路由器存在身份验证漏洞，恐影响数百万台设备

多个型号的家用路由器很可能因为采用相同厂牌固件，而存在同样的漏洞，成为攻击者锁定的目标。例如，在2020年11月由资安媒体CyberNews揭露数款品牌的路由器存在后门漏洞，而有攻击者借此散布僵尸病毒Mirai的情况：这些厂牌包含Walmart独家销售的Jetstream，以及透过Amazon与eBay贩卖的Wavlink。资安研究员发现，上述两个品牌的路由器，都是中国业者Winstars生产，而存在相同的漏洞。

但这种多款路由器产品使用含有漏洞的固件，而存在相同漏洞的情况最近又再度发生。研究人员发现横跨数十个厂牌与ISP、影响数以百万设备的重大漏洞，一旦攻击者滥用，就能绕过网页管理界面的身份验证机制，而掌控路由器来发动攻击，且被揭露不久已出现攻击行动。

在8月3日，弱点管理解决方案业者Tenable公布绕过验证漏洞CVE-2021–20090的细节，此漏洞的CVSS风险层级达9.8分，影响19个厂牌、总共37款路由器设备，而这些设备的共同点，都是采用台湾综合接入设备（IAD）制造商智易科技（Arcadyan）的固件。

智易科技成立于2003年，总部位于新竹科学园区，是仁宝旗下的子公司。该公司是全球综合接入设备的大型制造商，提供宽频网络、无线网络、光纤网络路由器，以及机上盒等产品。

这项漏洞最早被发现的起缘，是Tenable于今年的年初，取得日本一款相当畅销的路由器设备Buffalo WSR-2533进行研究，所找到的其中一项漏洞。但资安研究人员进一步调查发现，还有其他使用智易科技固件的路由器，也存在相同漏洞。Tenable于4月下旬通报智易科技后，智易科技确认相关漏洞，并表明他们与其中一家厂商正在修补中，但不愿向Tenable透露可能受影响的厂商名单。

针对CVE-2021–20090，Tenable于4月26日首度发出资安通告，并于7月20日公布其他受到影响的路由器名单，最后在8月3日发表此漏洞的细节，并提供概念性验证（PoC）攻击手法与影片。

A little video demo from the Buffalo writeup ( https://t.co/ySft5EP299 ) : pic.twitter.com/1ulDi0CyXZ

— evan grant (@stargravy) August 3, 2021

受到此绕过验证漏洞影响的路由器，出现于华硕、Buffalo，以及智易科技的自有品牌，还有多家ISP业者也有存在相同漏洞的路由器机种，如：英国电信、德国电信、Verizon、Vodafone等。

事隔3天，资安业者Juniper于8月6日提出警告，表示攻击者已经锁定CVE-2021–20090漏洞，透过位于中国湖北省武汉市的IP地址，利用程式码（Script）来发动Mirai变种僵尸病毒攻击，其程式码档案的名称，与3月Palo Alto Networks揭露的攻击行动中，所出现的程式码相似。由于两起攻击行动的时间点相当接近，Juniper研判，两起攻击行动很可能是由相同的骇客所为。

针对此起攻击行动，Juniper亦公布攻击来源IP地址、程式码档案的杂凑值等入侵指标（IOC），以供企业侦测是否遭到入侵的迹象。