物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。智慧工业、智慧城市 、智慧交通、智慧健康、智慧能源等领域将最有可能成为产业物联网连接数增长最快的领域。
当业界在推动产业物联网高速发展同时,物联网安全问题也给我们敲响了警钟。2020年,国内外挖矿、设备劫持事件频发,智能家居产品不断爆出安全漏洞,漏洞被利用时将造成不可逆的经济损失,同时也反映在物联网产业建设初期,安全作为物联网应用的基础设施的重要性。
青莲云物联网安全研究院整理了2020年国内外物联网安全漏洞,希望设备厂商、项目设计方、实施监理方等能够更加重视物联网安全,在项目初期建设环节引入物联网安全解决方案,尽量减少不必要的安全风险。
青莲云安全点评
物联网安全漏洞已从早期的业务逻辑漏洞延伸到硬件架构、通信协议、操作系统、开源组件等核心基础架构
物联网业务场景的联动融合性增强,设备单点漏洞将成为整体安全防护体系的突破口
超过60%的漏洞存在于物联网设备固件中,开展固件安全检测工作意义重大
超过50%的漏洞没有补丁或者升级修复难度极大
大部分中小型制造商的物联网设备安全问题更为严重
(数据来源:IOTVD青莲云物联网安全漏洞库)
安全漏洞内容
一月
小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能
美国Ruckus无线路由器中发现3个严重漏洞 被黑客远程控制路由器
http://mini.eastday.com/a/200103093854236.html
二月
Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令
CVE-2020-6007:Philips智能灯泡安全漏洞
https://www.4hou.com/posts/lM41
新的Wi-Fi加密漏洞披露,超十亿台设备受影响
https://mp.weixin.qq.com/s/GDvJPHvnGd-2EHo4yZ5P3g
三月
Intel 处理器曝新漏洞 打补丁性能骤降 77%
微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞
17 年历史的 RCE 漏洞已影响数个 Linux 系统
英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁
Mukashi:新Mirai变种攻击Zyxel NAS设备
https://www.4hou.com/posts/pX4N
Unit42Threat安全团队发布的《2020年物联网威胁报告》,多达83%的联网医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。
http://www.elecfans.com/d/1187727.html
四月
CVE-2020-10882: TP-Link 命令注入漏洞通告
https://cert.360.cn/warning/detail?id=ea0df6b0ad71ae8540e9582ff74b7a60
D-Link DSL-2640B设备多个最新漏洞利用分析
https://www.4hou.com/posts/kOJ5
利用Safari浏览器的7个0-day漏洞利用链劫持相机
https://www.4hou.com/posts/DJMx
TP-Link Archer A7命令注入漏洞分析
https://www.anquanke.com/post/id/202671
福特、大众被曝网络安全漏洞,黑客可窃取隐私、操控车辆
https://www.freebuf.com/news/233955.html
五月
苹果蓝牙保护框架MagicPairing被披露10个0day漏洞
https://www.secrss.com/articles/19615
联发科被在野利用的 RootKit 漏洞分析(CVE-2020-0069)
https://www.4hou.com/posts/n8Ql
破门而入:智能门禁系统安全
https://www.anquanke.com/post/id/204342
六月
思科在工业路由器,交换机中塞满了安全漏洞
Cisco plugs bucketful of security holes in industrial routers, switches
LG曝安全漏洞,影响过去7年的LG安卓智能手机
https://www.4hou.com/posts/p7zX
Ripple20漏洞曝光:19个0 day漏洞影响数十亿IoT设备
https://blog.csdn.net/systemino/article/details/106838301
Netgear 数十款路由器曝出严重漏洞,影响79种不同型号设备
https://www.4hou.com/posts/yMJR
思科报告称:智能汽车易受黑客攻击 通过漏洞可实现“远程控制”
https://www.easyaq.com/news/2147307840.shtml
Linux 再次严辞拒绝 Intel CPU 漏洞补丁
NVIDIA显卡驱动曝出多安全漏洞,部分Windows和Linux设备受到影响
https://www.4hou.com/posts/g66r
D-Link路由器曝多个安全漏洞
https://www.4hou.com/posts/AA8j
LoRaWAN协议栈首曝通用安全漏洞,数亿物联网设备倍感“威胁”
https://baijiahao.baidu.com/s?id=1669835160607888631&wfr=spider&for=pc
交通信号灯曝严重漏洞,可人为操控引发交通瘫痪
https://www.freebuf.com/news/239632.html
七月
联发科芯片Rootkit漏洞分析(CVE-2020-0069)
https://www.freebuf.com/vuls/242378.html
BootHole漏洞影响数十亿Windows和Linux设备
https://www.4hou.com/posts/ZpDw
八月
三菱电机旗下工厂自动化产品被曝3个严重漏洞
https://www.secrss.com/articles/24473
亚马逊 Alexa 现漏洞:可能会曝光用户个人信息及语音历史
Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络
攻击者正在利用思科企业级路由器中的两个零时差漏洞
Attackers are exploiting two zero-day flaws in Cisco enterprise-grade routers
自动柜员机制造商修复了允许非法取款的缺陷
九月
苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码
https://www.4hou.com/posts/Jlpl
D-Link摄像头在野0-Day漏洞分析报告
https://www.secrss.com/articles/25903
可 3 秒入侵 Windows 服务器:微软敦促客户尽快修复 Zerologon 漏洞
十月
谷歌在Linux内核发现蓝牙漏洞 攻击者可任意访问敏感信息
https://www.easyaq.com/news/2147307904.shtml
十一月
群晖 SRM 组件存在多个安全漏洞
https://www.4hou.com/posts/mGvn
工业控制系统存在可导致远程代码攻击的严重漏洞
微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞
打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接
十二月
全球超过 100 万物联网设备受影响 安全专家发现 33 个漏洞
Vulnerable TCP/IP stacks open millions of IoT and OT devices to attack
D-Link路由器容易受到可远程利用的根命令注入漏洞的攻击
D-Link routers vulnerable to remotely exploitable root command injection flaw
日本川崎重工披露安全漏洞
Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备
CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备
谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞
黑客可利用漏洞攻击 D-Link VPN 路由器
iPhone里的照片、私人信息一览无余!谷歌近日曝光了一个iOS严重Wi-Fi漏洞
https://www.easyaq.com/news/2147307929.shtml
多款 Schneider Electric 产品代码问题漏洞
https://www.anquanke.com/vul/id/2268377
AMNESIA:33:33个Bug驻留在四个开源TCP/IP堆栈中
https://blog.csdn.net/weixin_45728976/article/details/111308134
以上报告由青莲云物联网安全研究院收集整理
