D-link 意外泄露私人代码签名密钥

网络设备制造商D-Link犯了一个小错误，在D-Link发布的开源固件包中发现了用于签名软件的私钥。目前尚不清楚该密钥是否被恶意第三方使用，但黑客可能会使用它来签署恶意软件，从而更容易实施攻击。

荷兰一家名为Tweakers 的网站收到一位读者的警告，该读者购买了D-Link 的DCS-5020L 安全摄像头并更新了固件。然后，他不仅发现了固件中的私钥，还发现了用于签署软件的密码。 Tweakers 将这一情况转发给了荷兰安全公司Fox-IT，该公司也证实了这一点。

Fox-IT 的安全研究员Yonathan Klijnsma 表示：“我认为这是打包源代码进行分发的人所犯的错误。因为我没有这样做。”这两个版本都不包含代码签名证书所在的文件夹，因此该文件夹告诉我这是一个简单的错误。 ”

Klijnsma 表示，他不仅在D-Link 的源代码包中发现了证书问题，而且在Starfield Technologies、KEEBOX Inc 和Alpha Networks 中也发现了证书问题。目前所有证书均已过期或取消。但D-Link的认证部门从2月27日颁发证书，到9月3日公开，历时6个多月。

“这是一个你不希望暴露的文件，但它很容易找到，”Klijnsma 说。

发布合法的代码签名证书会产生严重的潜在后果。使用被盗证书对软件进行签名以避免被安全系统检测是恶意软件作者和攻击者的常见策略。许多安全系统信任这些签名文件的通过。

许多APT 组织使用丢失或被盗的证书来签署恶意软件并进行有针对性的攻击。代码签名服务也存在于地下行业中。例如，Destover Wiper 恶意软件使用从索尼窃取的证书进行签名，并用于攻击索尼影视娱乐公司。 Duqu 2.0 APT 操作背后的攻击者使用了类似的策略，使用从中国技术制造商窃取的证书来签署他们的恶意软件。

Klijnsma 表示，目前尚不清楚D-Link 的证书是否被恶意使用。

“现在可以通过类似于VirusTotal 提供的恶意软件样本调查服务来检测使用此证书签名的恶意软件，但并不是所有的都可以检测到。必须首先检测它们。然后，它将记录在VirusTotal 样本库中，”他说。