【用家注意】變種Mirai又攻擊D-Link產品　下架NAS裝置不獲安全更新

有網絡安全公司在 4 月初發表有關 D-Link 產品的安全報告，內裡指出對方一些已停產的 NAS 裝置存在嚴重安全漏洞，不過由於產品已下架多時，因此廠方亦未有提供安全更新的打算。報道刊登兩日，安全機構便發現有黑客積極利用漏洞入侵，將大量 D-Link NAS 變成殭屍大軍，受影響的裝置多達 9.2 萬，建議用家即時將裝置斷網，並考慮升級新裝置先好使用。

發現這個安全漏洞的是 Netsecfish 安全研究人員，據知漏洞發生在兩方面，一是韌體存在一個 hardcoded 的帳戶登入名稱 messagebus，使用這個帳戶登入毋須輸入任何密碼，其次是系統參數容許遙距注入編碼，只要同時利用，便可在 D-Link 受影響的 NAS 裝置包括 DNS-340L、DNS-320L、DNS-327L 和 DNS-325 等之上執行惡意功能。

正如上文所述，D-Link 被通知後，已回應不會修補漏洞，只建議用家換新機或至少將裝置更新至官方最後發布的韌體版本，因此研究員便按照慣例公開漏洞詳情。

事隔兩日，安全公司 GreyNoise 及威脅監控平台 ShadowServer 便留意到有黑客正在瘋狂利用漏洞，在受影響裝置上安裝變種 Mirai 殭屍程式，一旦被入侵，黑客可將裝置應用於日後的大規模分散式阻斷服務（DDoS）攻擊外，還可竊取內裡的私隱資料及變更網絡設定。

其實 D-Link 並非第一次被 Mirai 攻擊，除了數個月前的變種 Mirai IZ1H9，兩年前另一隻變種 Mirai MooBot 亦是乘著 D-Link 上網裝置被發現安全漏洞，於是搶在用家安裝更新檔前大舉進攻，不過這次因為出現漏洞的是已停產 NAS 裝置，所以用家就算想補救都無其他方法，只有升級新產品才是唯一出路。

從這次事件亦可見，黑客比用家更關心安全機構發表的漏洞報告，一來可以減低攻擊成本，二來亦因為競爭激烈，越遲出手，便越有可能會被行家搶先一步。雖然 NAS 裝置依然可用，但考慮到保護私隱問題，點都應該買新機。

資料來源：https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-92-000-d-link-nas-devices-now-exploited-in-attacks/

網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》，一系列影片助你自學網絡安全招數，遠離詐騙，安全意識輕鬆 Level Up！立即去片：https://www.wepro180.com/cybersafety/