• 發布單位:TWCERT/CC
• 更新日期:2021-11-23
• 點閱次數:3169

英國 Sky 寬頻服務提供用戶使用的 600 萬台路由器，其中存有的資安漏洞，在 2020 年年底發現後，花了長達 17 個月才大致完成修補工作。

英國 Sky 寬頻服務（Sky Broadband）提供用戶使用的 600 萬台路由器，其中存有幾個資安漏洞，在 2020 年年底由資安廠商發現並提報後，Sky Broadband 並未立即處理，直到 2021 年 10 月底才完成 99% 受影響裝置的資安修補工作，用戶曝險期間長達 17 個月之久。

該漏洞是個「DNS 重新綁定」（DNS Rebinding）漏洞。駭侵者可以攻擊所有未曾變更預設管理介面登入帳密的 Sky Broadband 路由器，引誘用戶進入一個含有惡意程式碼的網站中，藉以利用此漏洞，入侵用戶內部網路中的各項裝置，包括竊取資料，或是攻擊用戶內網中的其他設備。

該漏洞是由資安廠商 Pen Test Partners 於 2020 年 5 月 11 日發出資安通報，並立即通報給 Sky Broadband；當時 Sky Broadband 表示已獲悉該漏洞的存在，並計畫於 2020 年 11 月時修復此漏洞。

然而該公司卻因為忙於 COVID-19 肺炎疫情之下，英國各地封城造成的寬頻服務需求暴增，因而沒有及時於計畫明定的 2020 年 11 月推送更新修補程式。Sky Broadband 過了幾個月後才推出修補程式，直到 2021 年 5 月時，修補完成比例僅有 50％。

資安廠商 Pen Test Partners 發現 Sky Broadband 怠於進行漏洞修補，於是在今年 8 月時對媒體公開其發現，希望透過輿論的力量，來壓迫 Sky Broadband 加速漏洞更新腳步。最後在本年 10 月 22 日時，Sky Broadband 才對外表示已經更新了 99％ 存有此漏洞的裝置。