資安業者SEC Consult最近分析了來自超過70家業者、逾4000款嵌入式裝置的韌體,並檢驗韌體中的加密金鑰,發現有不少來自不同業者的產品使用了同樣的金鑰,讓網路上數百萬台的嵌入式裝置落入了中間人攻擊( man-in-the-middle)的風險中。
SEC Consult所檢驗的嵌入式裝置包含了網路閘道器、路由器、數據機、IP攝影機及VoIP電話等,分析這些裝置韌體中所儲存的公開金鑰、私密金鑰與憑證,顯示最普遍的金鑰為SSH金鑰與HTTPS憑證,前者可供遠端登入裝置,後者則是基於網頁的裝置配置介面。
SEC Consult在逾4000款的裝置上找到了580個私鑰,以這些私鑰在網路上進行搜尋之後發現,總計有230個私鑰處於有效運作狀態,並有超過9%(約320萬台)的裝置使用150種的HTTPS憑證,及6%(約90萬台)的裝置使用80個SSH金鑰。超過400萬台的嵌入式裝置僅使用230種金鑰,意謂著有眾多不同的裝置使用同樣的金鑰。
業者在同一個產品線使用同樣的金鑰也許早就是個隱而不宣的事實,而SEC Consult則發現即使是來自不同業者的不同產品也有同樣的金鑰,可能是因為程式碼的分享、外洩或遭竊,也可能是因為各家製造商使用同樣的晶片軟體開發套件。此外,SEC Consult也首度具體化硬體製造商輕忽安全性的規模。
例如有一個發行給Broadcom使用的憑證出現在Linksys及ZyXEL等眾多製造商的產品中,總計有48萬個裝置使用此一憑證,還有一個發行給Multitech的憑證被用在30萬個裝置上。
卡內基美隆大學的電腦緊急應變中心(CERT)已對此提出警告,指出這些使用非獨特憑證的嵌入式裝置可能落入假冒攻擊(impersonation)、中間人攻擊(man-in-the-middle)或被動式解密攻擊(passive decryption)的安全風險中。
受到此一調查影響的業者多達40家,涵蓋知名的思科、華為、奇異、ZyXEL、Alcatel-Lucent、D-Link、Linksys及Seagate等。CERT則建議使用者可手動置換這些嵌入式裝置的憑證,或是限制這些裝置的存取權限。(編譯/陳曉莉)