國家資通安全研究院(資安院)檢測防禦中心於今年7月2日公布首屆「產品資安漏洞獵捕活動」去識別化成果報告,針對20項通訊與網路設備標的進行漏洞獵捕測試,最終有8組設備、共20件漏洞獲審查確認為有效通報。報告指出,漏洞高度集中於工業網通設備與一般網通設備,且多屬弱密碼、輸入驗證缺失等基礎安全控制問題,攻擊者無需高階技術即可取得初始存取權限。
20項標的挖出20件漏洞,跨三大產品類別
本次活動涵蓋網通設備、工業網通設備與儲存設備三大類,共20項標的。網通設備(如路由器、交換器、閘道器與防火牆)占9項,工業網通設備(如工業路由器、工業交換器、工業電腦與邊緣運算設備)占8項,儲存設備(如網路附加儲存裝置,NAS)則占3項。
測試結果顯示,實際發現有效漏洞的8組設備中,工業網通設備占6組,比例高達75%,一般網通設備占2組,比例25%,儲存設備則未發現任何有效漏洞。報告特別提醒,儲存設備掛零僅反映本次測試觀察結果,不代表該類設備完全無風險,未來仍須持續驗證。
依通用漏洞評分系統(CVSS)風險等級區分,本次20件漏洞中,嚴重風險3件、高風險6件、中風險10件、低風險1件,多數落在中高風險以上。報告分析指出,這些漏洞多屬弱密碼與預設帳密等基礎缺失,攻擊者能藉此輕易取得初始存取權限,若多項弱點同時存在並遭串聯利用,單一漏洞可能演變為完整入侵路徑,形成連鎖攻擊,進一步影響設備安全與服務持續運作。
四大類別拆解 從指令注入到記憶體破壞
報告將20件漏洞依成因歸納為四大類別。輸入驗證不當(Improper Input Validation)共9件,占比45%為最大宗,細分作業系統指令注入(Command Injection)4件、路徑遍歷(Path Traversal)2件。案例顯示,某設備在驗證請求時未檢查參數即直接帶入系統指令執行,未經身分驗證的攻擊者可藉此注入任意指令,最終以root權限達成任意程式碼執行,該案例CVSS達9.8分,屬嚴重風險。另一案例則因檔案操作未妥善過濾路徑跳脫序列,使攻擊者可突破預期目錄邊界,刪除指定目錄以外的檔案,CVSS為8.1分。
身分驗證與授權缺陷(Broken Authentication and Authorization)占5件,比例25%,包含缺乏身分驗證4件與不當登入嘗試限制1件。報告指出,某授權管理員管理介面未落實身分驗證,攻擊者可直接存取授權資料與敏感系統資訊,CVSS達7.5分。另有案例因登入流程未限制嘗試速度,攻擊者可據此進行帳號枚舉與密碼暴力破解,增加後續入侵風險。
設定與環境不當(Config and Env)與記憶體破壞(Memory Corruption)則各占3件,比例皆為15%。設定類問題以使用Hard-coded帳號通行碼最為典型,某資料庫版本內建固定root帳密,且另存多組明文通行碼,進一步提高橫向移動與資料外洩風險,CVSS高達9.8分。另一設定類案例因服務對內部網路開放且未啟用傳輸層安全協定(TLS,Transport Layer Security),通訊內容缺乏加密保護,增加資訊外洩風險。記憶體破壞案例則因輸入長度未設限,導致伺服器端觸發堆疊型緩衝區溢位(Stack-based Buffer Overflow),造成管理服務中斷,CVSS為7.5分。
資安院示警 建議回饋至SSDLC降低重複風險
資安院指出,本次20件漏洞多屬基礎安全控制缺失,並非高階攻擊手法,透過安全設計與原始碼檢測即可於開發階段攔截。報告提出四項建議,包括持續推動產品資安漏洞獵捕活動並擴大白帽研究人員與廠商參與,將漏洞獵捕成果回饋至安全軟體開發生命週期(SSDLC),強化安全設計、安全程式設計與安全測試,建立產品安全事件應變團隊(PSIRT)與漏洞管理流程,並導入靜態應用程式安全測試(SAST)與軟體組成分析(SCA)等安全檢測機制。
報告也點出,本次結果反映資安成熟度不均的現象。此份報告雖經去識別化處理,未揭露受測廠牌與型號,但仍具體呈現網通與工業網通設備常見的資安脆弱環節。無論是選購產品或維運既有設備,皆可將輸入驗證、身分驗證、憑證管理與記憶體安全列為檢視重點,避免因基礎控制缺失而暴露於未授權存取風險之中。