前 言
物聯(lián)網(wǎng)技術(shù)正在加速向各行業(yè)滲透��,根據(jù)中國(guó)信通院《物聯(lián)網(wǎng)白皮書(shū)(2020年)》內(nèi)容顯示:預(yù)計(jì)到2025年�����,物聯(lián)網(wǎng)連接數(shù)的大部分增長(zhǎng)來(lái)自產(chǎn)業(yè)市場(chǎng),產(chǎn)業(yè)物聯(lián)網(wǎng)的連接數(shù)將占到總體的61.2%����。智慧工業(yè)、智慧城市 ����、智慧交通、智慧健康���、智慧能源等領(lǐng)域?qū)⒆钣锌赡艹蔀楫a(chǎn)業(yè)物聯(lián)網(wǎng)連接數(shù)增長(zhǎng)最快的領(lǐng)域����。
當(dāng)業(yè)界在推動(dòng)產(chǎn)業(yè)物聯(lián)網(wǎng)高速發(fā)展同時(shí),物聯(lián)網(wǎng)安全問(wèn)題也給我們敲響了警鐘����。2020年,國(guó)內(nèi)外挖礦����、設(shè)備劫持事件頻發(fā),智能家居產(chǎn)品不斷爆出安全漏洞�����,漏洞被利用時(shí)將造成不可逆的經(jīng)濟(jì)損失�,同時(shí)也反映在物聯(lián)網(wǎng)產(chǎn)業(yè)建設(shè)初期�,安全作為物聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)設(shè)施的重要性。
青蓮云物聯(lián)網(wǎng)安全研究院整理了2020年國(guó)內(nèi)外物聯(lián)網(wǎng)安全漏洞��,希望設(shè)備廠商�����、項(xiàng)目設(shè)計(jì)方、實(shí)施監(jiān)理方等能夠更加重視物聯(lián)網(wǎng)安全����,在項(xiàng)目初期建設(shè)環(huán)節(jié)引入物聯(lián)網(wǎng)安全解決方案,盡量減少不必要的安全風(fēng)險(xiǎn)����。
青蓮云安全點(diǎn)評(píng)
1) 物聯(lián)網(wǎng)安全漏洞已從早期的業(yè)務(wù)邏輯漏洞延伸到硬件架構(gòu)、通信協(xié)議����、操作系統(tǒng)、開(kāi)源組件等核心基礎(chǔ)架構(gòu)
2) 物聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景的聯(lián)動(dòng)融合性增強(qiáng)�,設(shè)備單點(diǎn)漏洞將成為整體安全防護(hù)體系的突破口
3) 超過(guò)60%的漏洞存在于物聯(lián)網(wǎng)設(shè)備固件中,開(kāi)展固件安全檢測(cè)工作意義重大
4) 超過(guò)50%的漏洞沒(méi)有補(bǔ)丁或者升級(jí)修復(fù)難度極大
5) 大部分中小型制造商的物聯(lián)網(wǎng)設(shè)備安全問(wèn)題更為嚴(yán)重
(數(shù)據(jù)來(lái)源:IOTVD青蓮云物聯(lián)網(wǎng)安全漏洞庫(kù))
一月
小米米家攝像頭被爆安全漏洞:谷歌已緊急禁止集成功能
http://hackernews.cc/archives/29111
美國(guó)Ruckus無(wú)線路由器中發(fā)現(xiàn)3個(gè)嚴(yán)重漏洞 被黑客遠(yuǎn)程控制路由器
http://mini.eastday.com/a/200103093854236.html
二月
Sudo 漏洞允許非特權(quán) Linux 和 macOS 用戶(hù)以 root 身份運(yùn)行命令
http://hackernews.cc/archives/29351
CVE-2020-6007:Philips智能燈泡安全漏洞
https://www.4hou.com/posts/lM41
新的Wi-Fi加密漏洞披露����,超十億臺(tái)設(shè)備受影響
https://mp.weixin.qq.com/s/GDvJPHvnGd-2EHo4yZ5P3g
三月
Intel 處理器曝新漏洞 打補(bǔ)丁性能驟降 77%
http://hackernews.cc/archives/29702
微軟證實(shí)影響 Windows 10 操作系統(tǒng)的 SMBv3 協(xié)議漏洞
http://hackernews.cc/archives/29677
17 年歷史的 RCE 漏洞已影響數(shù)個(gè) Linux 系統(tǒng)
http://hackernews.cc/archives/29664
英特爾 CSME 爆出嚴(yán)重安全漏洞 現(xiàn)已發(fā)布修復(fù)補(bǔ)丁
http://hackernews.cc/archives/29640
Mukashi:新Mirai變種攻擊Zyxel NAS設(shè)備
https://www.4hou.com/posts/pX4N
Unit42Threat安全團(tuán)隊(duì)發(fā)布的《2020年物聯(lián)網(wǎng)威脅報(bào)告》,多達(dá)83%的聯(lián)網(wǎng)醫(yī)療成像設(shè)備(如乳房X光造影機(jī)�����、MRI核磁共振成像機(jī)等等)存在安全隱患�。
http://www.elecfans.com/d/1187727.html
四月
CVE-2020-10882: TP-Link 命令注入漏洞通告
https://cert.#/warning/detail?id=ea0df6b0ad71ae8540e9582ff74b7a60
D-Link DSL-2640B設(shè)備多個(gè)最新漏洞利用分析
https://www.4hou.com/posts/kOJ5
利用Safari瀏覽器的7個(gè)0-day漏洞利用鏈劫持相機(jī)
https://www.4hou.com/posts/DJMx
TP-Link Archer A7命令注入漏洞分析
https://www.anquanke.com/post/id/202671
福特、大眾被曝網(wǎng)絡(luò)安全漏洞��,黑客可竊取隱私、操控車(chē)輛
https://www.freebuf.com/news/233955.html
五月
蘋(píng)果藍(lán)牙保護(hù)框架MagicPairing被披露10個(gè)0day漏洞
https://www.secrss.com/articles/19615
聯(lián)發(fā)科被在野利用的 RootKit 漏洞分析(CVE-2020-0069)
https://www.4hou.com/posts/n8Ql
破門(mén)而入:智能門(mén)禁系統(tǒng)安全
https://www.anquanke.com/post/id/204342
六月
思科在工業(yè)路由器��,交換機(jī)中塞滿(mǎn)了安全漏洞
https://www.helpnetsecurity.com/2020/06/04/cisco-plugs-security-holes/
LG曝安全漏洞����,影響過(guò)去7年的LG安卓智能手機(jī)
https://www.4hou.com/posts/p7zX
Ripple20漏洞曝光:19個(gè)0 day漏洞影響數(shù)十億IoT設(shè)備
https://blog.csdn.net/systemino/article/details/106838301
Netgear 數(shù)十款路由器曝出嚴(yán)重漏洞,影響79種不同型號(hào)設(shè)備
https://www.4hou.com/posts/yMJR
思科報(bào)告稱(chēng):智能汽車(chē)易受黑客攻擊 通過(guò)漏洞可實(shí)現(xiàn)“遠(yuǎn)程控制”
https://www.easyaq.com/news/2147307840.shtml
Linux 再次嚴(yán)辭拒絕 Intel CPU 漏洞補(bǔ)丁
http://hackernews.cc/archives/30974
NVIDIA顯卡驅(qū)動(dòng)曝出多安全漏洞�,部分Windows和Linux設(shè)備受到影響
https://www.4hou.com/posts/g66r
D-Link路由器曝多個(gè)安全漏洞
https://www.4hou.com/posts/AA8j
LoRaWAN協(xié)議棧首曝通用安全漏洞,數(shù)億物聯(lián)網(wǎng)設(shè)備倍感“威脅”
https://baijiahao.baidu.com/s?id=1669835160607888631&wfr=spider&for=pc
交通信號(hào)燈曝嚴(yán)重漏洞��,可人為操控引發(fā)交通癱瘓
https://www.freebuf.com/news/239632.html
七月
聯(lián)發(fā)科芯片Rootkit漏洞分析(CVE-2020-0069)
https://www.freebuf.com/vuls/242378.html
BootHole漏洞影響數(shù)十億Windows和Linux設(shè)備
https://www.4hou.com/posts/ZpDw
八月
三菱電機(jī)旗下工廠自動(dòng)化產(chǎn)品被曝3個(gè)嚴(yán)重漏洞
https://www.secrss.com/articles/24473
亞馬遜 Alexa 現(xiàn)漏洞:可能會(huì)曝光用戶(hù)個(gè)人信息及語(yǔ)音歷史
http://hackernews.cc/archives/31718
Smart Lock 漏洞可以使黑客完全訪問(wèn) Wi-Fi 網(wǎng)絡(luò)
http://hackernews.cc/archives/31715
攻擊者正在利用思科企業(yè)級(jí)路由器中的兩個(gè)零時(shí)差漏洞
https://www.helpnetsecurity.com/2020/09/01/zero-day-cisco-enterprise-routers/
自動(dòng)柜員機(jī)制造商修復(fù)了允許非法取款的缺陷
https://www.helpnetsecurity.com/2020/08/21/atm-illegal-cash-withdrawals/
九月
蘋(píng)果高危漏洞允許攻擊者在iPhone�、iPad、iPod上執(zhí)行任意代碼
https://www.4hou.com/posts/Jlpl
D-Link攝像頭在野0-Day漏洞分析報(bào)告
https://www.secrss.com/articles/25903
可 3 秒入侵 Windows 服務(wù)器:微軟敦促客戶(hù)盡快修復(fù) Zerologon 漏洞
http://hackernews.cc/archives/32301
十月
谷歌在Linux內(nèi)核發(fā)現(xiàn)藍(lán)牙漏洞 攻擊者可任意訪問(wèn)敏感信息
https://www.easyaq.com/news/2147307904.shtml
十一月
群暉 SRM 組件存在多個(gè)安全漏洞
https://www.4hou.com/posts/mGvn
工業(yè)控制系統(tǒng)存在可導(dǎo)致遠(yuǎn)程代碼攻擊的嚴(yán)重漏洞
http://hackernews.cc/archives/33556
微軟安全公告一年半后 仍有 245000 臺(tái)設(shè)備尚未修復(fù) BlueKeep 高危漏洞
http://hackernews.cc/archives/33527
打印機(jī)驅(qū)動(dòng)程序被標(biāo)記為惡意軟件 戴爾已緊急撤下鏈接
http://hackernews.cc/archives/33338
十二月
全球超過(guò) 100 萬(wàn)物聯(lián)網(wǎng)設(shè)備受影響 安全專(zhuān)家發(fā)現(xiàn) 33 個(gè)漏洞
https://www.helpnetsecurity.com/2020/12/09/vulnerable-tcp-ip-stacks/
D-Link路由器容易受到可遠(yuǎn)程利用的根命令注入漏洞的攻擊
https://www.helpnetsecurity.com/2020/12/08/d-link-routers-vulnerability/
日本川崎重工披露安全漏洞
http://hackernews.cc/archives/34436
Treck TCP/IP Stack 中的新漏洞影響了數(shù)百萬(wàn)個(gè) IoT 設(shè)備
http://hackernews.cc/archives/34304
CVSS 得分均為 10 的兩個(gè)嚴(yán)重漏洞影響 Dell Wyse Thin 客戶(hù)端設(shè)備
http://hackernews.cc/archives/34260
谷歌披露存在于高通驍龍 Adreno GPU 中的高危漏洞
http://hackernews.cc/archives/34107
黑客可利用漏洞攻擊 D-Link VPN 路由器
http://hackernews.cc/archives/33995
iPhone里的照片�、私人信息一覽無(wú)余!谷歌近日曝光了一個(gè)iOS嚴(yán)重Wi-Fi漏洞
https://www.easyaq.com/news/2147307929.shtml
多款 Schneider Electric 產(chǎn)品代碼問(wèn)題漏洞
https://www.anquanke.com/vul/id/2268377
AMNESIA:33:33個(gè)Bug駐留在四個(gè)開(kāi)源TCP/IP堆棧中
https://blog.csdn.net/weixin_45728976/article/details/111308134
以上報(bào)告由青蓮云物聯(lián)網(wǎng)安全研究院收集整理����,如需獲取完整報(bào)告請(qǐng)點(diǎn)擊下方鏈接獲取。
2020 年國(guó)內(nèi)外典型物聯(lián)網(wǎng)安全漏洞盤(pán)點(diǎn).pdf
