聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Tenable 公司的安全研究员发现了一个已存在12年之久的路由器漏洞并警告称可影响全球数百万台设备。

Tenable 公司的安全工程师 Evan Grant 解释称，最初从路由器制造商 Buffalo 生产的路由器中发现了该认证绕过漏洞。然而，在披露过程中他发现该漏洞实际上存在于中国台湾企业 Arcadyan 生产的固件中。他解释称，“我们能够测试或者通过第三方测试的设备至少共享一个路径遍历漏洞，可使攻击者绕过认证，它的编号是CVE-2021-20090。该漏洞似乎存在于我们能够找到的几乎每台 Arcadyan 路由器/调制解调器，包括最早在2008年出售的设备。”

影响数百万台设备

Grant称该漏洞可能影响17家不同厂商制造的数百万台设备，它们分布在11个国家，包括澳大利亚、德国、日本、墨西哥、新西兰、美国等。

CVE-2021-20090的CVSS 评分为8.1，属于高危漏洞，如遭利用可导致未认证的远程攻击者绕过认证。

另外两个漏洞

然而，Grant还发现 Buffalo 生产的路由器中的另外两个漏洞：访问控制不当缺陷CVE-2021-20092和配置文件注入漏洞 CVE-2021-20091。目前这两个漏洞已报告至CERT协调中心，以帮助通知所有受影响厂商。

这一案例说明了代码供应链和易受攻击软件库之间的继承风险关系。

Grant指出，“这个问题值得更多讨论：Arcadyan 固件漏洞至少存在10年之久，从而导致通过供应链进入至少17家不同厂商的至少20个机型中。推荐能够接触到其中一种设备的安全研究员查找并报告任何认证后漏洞如Buffalo 路由器中的配置注入漏洞，我认为这些设备中还存在很多其它问题。“

#新书即将发布，敬请期待福利活动哟！

推荐阅读

PyPI 仓库被曝多个 typosquatting 库，可触发供应链攻击

详述 PyPI 中的远程代码执行漏洞，可引发供应链攻击

为增强软件供应链安全，NIST 发布《开发者软件验证最低标准指南》

无线路由器挖洞方法大比拼：白盒 or 黑盒？

思科修复 SMB VPN 路由器中严重的代码执行漏洞

思科决定将不修复路由器中的这70多个漏洞

原文链接

https://www.infosecurity-magazine.com/news/decade-old-router-bug-affect/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~