D-link意外泄漏私有代碼簽名密鑰

網(wǎng)絡(luò)設(shè)備制造商D-Link犯了一個小錯誤，在D-Link發(fā)布的開源固件包中發(fā)現(xiàn)了他們對軟件進行簽名所使用的私鑰?，F(xiàn)在還不知道該密鑰是否被惡意第三方利用，但存在被利用的可能性，黑客可以用這個密鑰對惡意軟件進行簽名，使它更容易執(zhí)行攻擊。

一個名為Tweakers的荷蘭網(wǎng)站從一個讀者那里收到了提醒，這位讀者購買了D-Link的DCS-5020L安全攝像頭并且下載了固件。然后他在固件中不僅發(fā)現(xiàn)了私鑰，而且還有對軟件進行簽名所使用的密碼。Tweakers將這一情況轉(zhuǎn)交給了荷蘭安全公司Fox-IT，該公司也對其進行了驗證。

“我認為這是打包發(fā)布源代碼的人犯的錯誤，因為代碼簽名證書只存在于一個特定版本的源代碼包中。”Fox-IT的安全研究員Yonathan Klijnsma告訴Threatpost，“該特定版本之前和之后的版本都不包含代碼簽名證書存在的文件夾，從文件夾中我們可以看出這是一個很簡單的錯誤。”

Klijnsma說他不僅在D-Link的源代碼包中發(fā)現(xiàn)證書，而且在Starfield Technologies，KEEBOX Inc，以及Alpha Networks中都存在這種問題。所有的證書現(xiàn)在都已經(jīng)過期或被注銷。然而，D-Link的cert部門在2月27日發(fā)布該證書，而9月3日才暴露出來，期間超過6個月。

“這是一個你不會想要暴露的文件，但它卻很容易找到”，Klijnsma說道。

泄露一個合法的代碼簽名證書具有嚴重的潛在后果。對于惡意軟件作者和攻擊者來說，利用偷來的證書對軟件進行簽名來繞過安全系統(tǒng)的檢測是一種很常見的策略。很多安全系統(tǒng)信任這些簽名文件，從而對它們進行放行。

許多APT組織都利用丟失或被盜的證書對惡意軟件進行簽名來進行針對性的攻擊，地下黑產(chǎn)中也存在代碼簽名服務(wù)。例如，Destover wiper惡意軟件使用了從索尼偷取的證書進行簽名，用于攻擊索尼影視娛樂。Duqu 2.0 APT行動背后的攻擊者也使用了類似的策略，使用了從中國技術(shù)制造商偷取的證書對惡意軟件進行簽名。

Klijnsma說現(xiàn)在無法獲知D-Link的證書是否被惡意利用。

“現(xiàn)在通過類似于VirusTotal提供的惡意軟件樣本調(diào)查服務(wù)可以檢測出用該證書簽名的惡意軟件，但并不是所有的都能檢測出來，它必須首先被發(fā)現(xiàn)，然后VirusTotal的樣本庫中才會有記錄。”他這樣說道。