网络安全公司NetRise发布报告指出,尽管各大厂商有超过十年时间来修复这个著名的安全漏洞,但多个制造商的无线设备至今仍易受2014年披露的“精灵粉尘”(Pixie Dust)攻击漏洞影响。
NetRise表示:“我们在六家厂商的24款设备中发现了存在漏洞的固件,包括路由器、范围扩展器、接入点以及Wi-Fi/电力线混合产品。其中最旧的易受攻击固件可追溯至2017年9月,这距离”精灵粉尘“漏洞公开披露已过去近三年。平均而言,存在漏洞的固件版本都是在漏洞首次发布7.7年后推出的。”
据SecurityWeek报道,“精灵粉尘”漏洞可被利用来获取路由器的Wi-Fi保护设置(WPS)PIN码,从而无需密码即可连接目标无线网络。攻击者只需处于目标网络覆盖范围内,捕获网络与客户端设备之间的初始WPS握手信号,即可离线破解PIN码。
这个漏洞广为人知到许多教学资源都将其作为无线网络黑客技术的入门教材。研究人员还开发了多个能够利用该漏洞的开源工具——其中一款甚至被安全专用的Kali Linux发行版重点推介——因此厂商根本无法假装不知道易受攻击设备存在的安全隐患。
如此古老的漏洞在旧硬件上仍然有效并不完全令人意外:大多数公司每年发布大量产品,要求所有产品都获得永久支持并不现实(尽管许多用户并不愿意升级设备)。但NetRise在研究报告中指出,这些设备的情况并非如此。
“在这24款设备中,只有4款曾获得补丁,且补丁发布严重滞后,”NetRise表示,“截至本文撰写时,仍有13款设备处于官方支持状态但未获得补丁。另外7款设备已在未修复漏洞的情况下停止支持。在某些案例中,厂商仅在更新日志中模糊地表示‘修复了某些安全漏洞’,完全未提及对精灵粉尘漏洞的修复。”
这意味着六家制造商在明知漏洞存在的情况下仍然发布了问题产品,并且在多数情况下忽视了对相关固件的更新——尽管他们向客户承诺这些产品仍在支持范围内。即便是获得补丁的产品,修复时间也严重滞后:NetRise称精灵粉尘漏洞补丁平均在漏洞公开披露9.6年后才发布。
“精灵粉尘漏洞并非孤立案例,而是固件供应链系统性问题的症状体现,从脆弱的加密机制和低效的熵生成,到不透明的厂商补丁实践,”NetRise强调,“教训十分明确:若缺乏对固件的持续可见性,企业绝不能假定旧漏洞已消失。”
