按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

600 萬台英國 Sky 寬頻用戶端路由器的資安漏洞,修復期間長達 17 個月

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-11-23
  • 點閱次數:1079
600 萬台英國 Sky 寬頻用戶端路由器的資安漏洞,修復期間長達 17 個月 TWCERT/CC

英國 Sky 寬頻服務提供用戶使用的 600 萬台路由器,其中存有的資安漏洞,在 2020 年年底發現後,花了長達 17 個月才大致完成修補工作。

英國 Sky 寬頻服務(Sky Broadband)提供用戶使用的 600 萬台路由器,其中存有幾個資安漏洞,在 2020 年年底由資安廠商發現並提報後,Sky Broadband 並未立即處理,直到 2021 年 10 月底才完成 99% 受影響裝置的資安修補工作,用戶曝險期間長達 17 個月之久。

該漏洞是個「DNS 重新綁定」(DNS Rebinding)漏洞。駭侵者可以攻擊所有未曾變更預設管理介面登入帳密的 Sky Broadband 路由器,引誘用戶進入一個含有惡意程式碼的網站中,藉以利用此漏洞,入侵用戶內部網路中的各項裝置,包括竊取資料,或是攻擊用戶內網中的其他設備。

該漏洞是由資安廠商 Pen Test Partners 於 2020 年 5 月 11 日發出資安通報,並立即通報給 Sky Broadband;當時 Sky Broadband 表示已獲悉該漏洞的存在,並計畫於 2020 年 11 月時修復此漏洞。

然而該公司卻因為忙於 COVID-19 肺炎疫情之下,英國各地封城造成的寬頻服務需求暴增,因而沒有及時於計畫明定的 2020 年 11 月推送更新修補程式。Sky Broadband 過了幾個月後才推出修補程式,直到 2021 年 5 月時,修補完成比例僅有 50%。

資安廠商 Pen Test Partners 發現 Sky Broadband 怠於進行漏洞修補,於是在今年 8 月時對媒體公開其發現,希望透過輿論的力量,來壓迫 Sky Broadband 加速漏洞更新腳步。最後在本年 10 月 22 日時,Sky Broadband 才對外表示已經更新了 99% 存有此漏洞的裝置。

回頁首