青莲云物联网安全研究院盘点2020年国内外典型物联网安全漏洞

物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。智慧工业、智慧城市 、智慧交通、智慧健康、智慧能源等领域将最有可能成为产业物联网连接数增长最快的领域。

当业界在推动产业物联网高速发展同时,物联网安全问题也给我们敲响了警钟。2020年,国内外挖矿、设备劫持事件频发,智能家居产品不断爆出安全漏洞,漏洞被利用时将造成不可逆的经济损失,同时也反映在物联网产业建设初期,安全作为物联网应用的基础设施的重要性。

青莲云物联网安全研究院整理了2020年国内外物联网安全漏洞,希望设备厂商、项目设计方、实施监理方等能够更加重视物联网安全,在项目初期建设环节引入物联网安全解决方案,尽量减少不必要的安全风险。

青莲云安全点评

物联网安全漏洞已从早期的业务逻辑漏洞延伸到硬件架构、通信协议、操作系统、开源组件等核心基础架构

物联网业务场景的联动融合性增强,设备单点漏洞将成为整体安全防护体系的突破口

超过60%的漏洞存在于物联网设备固件中,开展固件安全检测工作意义重大

超过50%的漏洞没有补丁或者升级修复难度极大

大部分中小型制造商的物联网设备安全问题更为严重


(数据来源:IOTVD青莲云物联网安全漏洞库)

安全漏洞内容

一月

小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能

小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能

美国Ruckus无线路由器中发现3个严重漏洞 被黑客远程控制路由器

http://mini.eastday.com/a/200103093854236.html

二月

Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令

Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令

CVE-2020-6007:Philips智能灯泡安全漏洞

https://www.4hou.com/posts/lM41

新的Wi-Fi加密漏洞披露,超十亿台设备受影响

https://mp.weixin.qq.com/s/GDvJPHvnGd-2EHo4yZ5P3g

三月

Intel 处理器曝新漏洞 打补丁性能骤降 77%

Intel 处理器曝新漏洞 打补丁性能骤降 77%

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

17 年历史的 RCE 漏洞已影响数个 Linux 系统

17 年历史的 RCE 漏洞已影响数个 Linux 系统

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

Mukashi:新Mirai变种攻击Zyxel NAS设备

https://www.4hou.com/posts/pX4N

Unit42Threat安全团队发布的《2020年物联网威胁报告》,多达83%的联网医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。
http://www.elecfans.com/d/1187727.html

四月

CVE-2020-10882: TP-Link 命令注入漏洞通告

https://cert.360.cn/warning/detail?id=ea0df6b0ad71ae8540e9582ff74b7a60

D-Link DSL-2640B设备多个最新漏洞利用分析

https://www.4hou.com/posts/kOJ5

利用Safari浏览器的7个0-day漏洞利用链劫持相机

https://www.4hou.com/posts/DJMx

TP-Link Archer A7命令注入漏洞分析

https://www.anquanke.com/post/id/202671

福特、大众被曝网络安全漏洞,黑客可窃取隐私、操控车辆

https://www.freebuf.com/news/233955.html

五月

苹果蓝牙保护框架MagicPairing被披露10个0day漏洞

https://www.secrss.com/articles/19615

联发科被在野利用的 RootKit 漏洞分析(CVE-2020-0069)

https://www.4hou.com/posts/n8Ql

破门而入:智能门禁系统安全

https://www.anquanke.com/post/id/204342

六月

思科在工业路由器,交换机中塞满了安全漏洞

Cisco plugs bucketful of security holes in industrial routers, switches

LG曝安全漏洞,影响过去7年的LG安卓智能手机

https://www.4hou.com/posts/p7zX

Ripple20漏洞曝光:19个0 day漏洞影响数十亿IoT设备

https://blog.csdn.net/systemino/article/details/106838301

Netgear 数十款路由器曝出严重漏洞,影响79种不同型号设备

https://www.4hou.com/posts/yMJR

思科报告称:智能汽车易受黑客攻击 通过漏洞可实现“远程控制”

https://www.easyaq.com/news/2147307840.shtml

Linux 再次严辞拒绝 Intel CPU 漏洞补丁

Linux 再次严辞拒绝 Intel CPU 漏洞补丁

NVIDIA显卡驱动曝出多安全漏洞,部分Windows和Linux设备受到影响

https://www.4hou.com/posts/g66r

D-Link路由器曝多个安全漏洞

https://www.4hou.com/posts/AA8j

LoRaWAN协议栈首曝通用安全漏洞,数亿物联网设备倍感“威胁”

https://baijiahao.baidu.com/s?id=1669835160607888631&wfr=spider&for=pc

交通信号灯曝严重漏洞,可人为操控引发交通瘫痪

https://www.freebuf.com/news/239632.html

七月

联发科芯片Rootkit漏洞分析(CVE-2020-0069)

https://www.freebuf.com/vuls/242378.html

BootHole漏洞影响数十亿Windows和Linux设备

https://www.4hou.com/posts/ZpDw

八月

三菱电机旗下工厂自动化产品被曝3个严重漏洞

https://www.secrss.com/articles/24473

亚马逊 Alexa 现漏洞:可能会曝光用户个人信息及语音历史

亚马逊 Alexa 现漏洞:可能会曝光用户个人信息及语音历史

Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络

Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络

攻击者正在利用思科企业级路由器中的两个零时差漏洞

Attackers are exploiting two zero-day flaws in Cisco enterprise-grade routers

自动柜员机制造商修复了允许非法取款的缺陷

ATM makers fix flaws allowing illegal cash withdrawals

九月
苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码

https://www.4hou.com/posts/Jlpl

D-Link摄像头在野0-Day漏洞分析报告

https://www.secrss.com/articles/25903

可 3 秒入侵 Windows 服务器:微软敦促客户尽快修复 Zerologon 漏洞

可 3 秒入侵 Windows 服务器:微软敦促客户尽快修复 Zerologon 漏洞

十月

谷歌在Linux内核发现蓝牙漏洞 攻击者可任意访问敏感信息

https://www.easyaq.com/news/2147307904.shtml

十一月

群晖 SRM 组件存在多个安全漏洞

https://www.4hou.com/posts/mGvn

工业控制系统存在可导致远程代码攻击的严重漏洞

工业控制系统存在可导致远程代码攻击的严重漏洞

微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞

微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞

打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接

打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接

十二月

全球超过 100 万物联网设备受影响 安全专家发现 33 个漏洞

Vulnerable TCP/IP stacks open millions of IoT and OT devices to attack

D-Link路由器容易受到可远程利用的根命令注入漏洞的攻击

D-Link routers vulnerable to remotely exploitable root command injection flaw

日本川崎重工披露安全漏洞

日本川崎重工披露安全漏洞

Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备

Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备

CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备

CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备

谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞

谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞

黑客可利用漏洞攻击 D-Link VPN 路由器

黑客可利用漏洞攻击 D-Link VPN 路由器

iPhone里的照片、私人信息一览无余!谷歌近日曝光了一个iOS严重Wi-Fi漏洞

https://www.easyaq.com/news/2147307929.shtml

多款 Schneider Electric 产品代码问题漏洞

https://www.anquanke.com/vul/id/2268377

AMNESIA:33:33个Bug驻留在四个开源TCP/IP堆栈中

https://blog.csdn.net/weixin_45728976/article/details/111308134

以上报告由青莲云物联网安全研究院收集整理


评论