D-link意外泄漏私有代码签名密钥

网络设备制造商D-Link犯了一个小错误，在D-Link发布的开源固件包中发现了他们对软件进行签名所使用的私钥。现在还不知道该密钥是否被恶意第三方利用，但存在被利用的可能性，黑客可以用这个密钥对恶意软件进行签名，使它更容易执行攻击。

一个名为Tweakers的荷兰网站从一个读者那里收到了提醒，这位读者购买了D-Link的DCS-5020L安全摄像头并且下载了固件。然后他在固件中不仅发现了私钥，而且还有对软件进行签名所使用的密码。Tweakers将这一情况转交给了荷兰安全公司Fox-IT，该公司也对其进行了验证。

“我认为这是打包发布源代码的人犯的错误，因为代码签名证书只存在于一个特定版本的源代码包中。”Fox-IT的安全研究员Yonathan Klijnsma告诉Threatpost，“该特定版本之前和之后的版本都不包含代码签名证书存在的文件夹，从文件夹中我们可以看出这是一个很简单的错误。”

Klijnsma说他不仅在D-Link的源代码包中发现证书，而且在Starfield Technologies，KEEBOX Inc，以及Alpha Networks中都存在这种问题。所有的证书现在都已经过期或被注销。然而，D-Link的cert部门在2月27日发布该证书，而9月3日才暴露出来，期间超过6个月。

“这是一个你不会想要暴露的文件，但它却很容易找到”，Klijnsma说道。

泄露一个合法的代码签名证书具有严重的潜在后果。对于恶意软件作者和攻击者来说，利用偷来的证书对软件进行签名来绕过安全系统的检测是一种很常见的策略。很多安全系统信任这些签名文件，从而对它们进行放行。

许多APT组织都利用丢失或被盗的证书对恶意软件进行签名来进行针对性的攻击，地下黑产中也存在代码签名服务。例如，Destover wiper恶意软件使用了从索尼偷取的证书进行签名，用于攻击索尼影视娱乐。Duqu 2.0 APT行动背后的攻击者也使用了类似的策略，使用了从中国技术制造商偷取的证书对恶意软件进行签名。

Klijnsma说现在无法获知D-Link的证书是否被恶意利用。

“现在通过类似于VirusTotal提供的恶意软件样本调查服务可以检测出用该证书签名的恶意软件，但并不是所有的都能检测出来，它必须首先被发现，然后VirusTotal的样本库中才会有记录。”他这样说道。