青莲晚报（第八十九期）| 物联网安全多知道

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

近亿台物联网设备或遭劫持，这家IoT云平台遭遇“灾难性”入侵事件

2021年1月11日，知名物联网设备制造商Ubiquiti公司（产品涵盖路由器、网络摄像机与安保摄像头等）宣布遭遇违规事件，使用的第三方云服务遭受入侵，导致大量客户账户凭证意外流出。

黑客先是在亚马逊AWS云上获得了对Ubiquiti数据库的完全读取/写入访问权限。而AWS，正是Ubiquiti当初在报告中提到的所谓“第三方云服务商”。亚当写道，“Ubiquiti故意对自己的违规问题一带而过，并暗示此次风险是由第三方云服务商所造成，Ubiquiti在其中只是受害者、而非直接攻击目标。”

在1月11日的公告中，Ubiquiti公司表示已经注意到“由第三方云服务商托管的部分信息技术系统遭遇未授权访问”，但其中并未明确提到所谓第三方的确切身份。

详文阅读：

https://mp.weixin.qq.com/s/hrLHpxagu2Yl9z3elRWlJA

谷歌硬件安全密钥曝严重漏洞可发起侧信道攻击

2018年，谷歌发布了名为“Titan”的硬件产品，是基于FIDO技术规范打造的，用来保护支持该硬件的所有平台账号。Google Titan 这样的硬件安全密钥被认为是保护用户账户预防钓鱼和接管攻击的最安全的方式。NinjaLab最新研究表明，拥有此类双因子认证设备的攻击者可以利用嵌入在Titan中芯片的电磁侧信道可以对其进行克隆。

该漏洞CVE编号为CVE-2021-3011，攻击者利用该漏洞可以从Google Titan Key 或YubiKey这样的FIDO U2F设备中提取与受害者账号相关的加密密钥或ECDSA私钥，完全破坏双因子认证的保护。换句话说，攻击者可以在无需U2F设备或在受害者完全没有察觉的情况下登入受害者应用账号。

在攻击中，攻击者克隆了受害者应用账号的U2F设备。克隆授予了其访问应用账号的权限，除非合法用户取消或废除其双因子认证凭证。

详文阅读：

https://www.4hou.com/posts/Gzv7

10万+合勤科技Zyxel安全产品曝出管理员级别后门

近日，荷兰网络安全公司Eye Control的安全研究人员发现，超过10万个合勤科技（Zyxel）公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通过Web管理面板或SSH界面获得对设备的root访问权限。合勤科技（Zyxel）是一家位于中国台湾新竹的网络设备制造商。

可被轻松利用的漏洞

Zyxel固件中发现的后门被称为关键固件漏洞，CVE编号CVE-2020-29583，得分为7.8 CVSS。虽然CVSS评分看似不是很高，但却不可小觑。研究人员表示，这是一个极为严重的漏洞，所有者必须立即更新其系统。因为任何人都可以轻松利用这个漏洞，从DDoS僵尸网络运营商到勒索软件团体和政府资助的黑客。

通过滥用后门账户，网络罪犯可以访问易受攻击的设备并感染内部网络以发起其他攻击。攻击者可以使用管理特权登录设备，并轻易破坏网络设备。

研究人员Niels Teusink指出，漏洞严重性很高，因为威胁行为者随时可以发起一系列攻击，完全损害设备的机密性、完整性和可用性。

“例如，有人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建VPN账户来访问设备背后的网络。与像Zerologon漏洞相结合，这可能对中小企业是毁灭性的。”Teusink在规定的博客文章中表示。

详文阅读：

https://www.aqniu.com/threat-alert/72176.html

多款 Schneider Electric 产品代码问题漏洞

Schneider Electric Modicon Premium等都是法国施耐德电气（Schneider Electric）公司的产品。Schneider Electric Modicon Premium是一款用于离散或过程应用的大型可编程逻辑控制器（PLC）。Schneider Electric Modicon Quantum是一款用于过程应用、高可用性和安全解决方案的大型可编程逻辑控制器（PLC）。Schneider Electric Modicon M340是一款用于工业过程和基础设施的中程PLC（可编程逻辑控制器）。 Modicon M340存在安全漏洞，攻击者可怜利用该漏洞使设备拒绝服务。

https://www.anquanke.com/vul/id/2268377

地震监测设备的网络安全问题

研究人员指出，连接到互联网的地震监测设备很容易受到网络攻击，从而可能破坏数据的收集和处理。大多数地震学家和网络运营商似乎并未意识到其IoT设备的漏洞以及其监控网络所面临的潜在风险。 “必须对地震学家进行信息安全教育和支持，因为在大多数情况下，未授权用户将试图通过合法用户的计算机获得访问权限，从而滥用监视网络和物联网设备。”

研究人员指出，通过利用这些漏洞，恶意用户可能会更改地球物理数据，减慢数据传输和处理速度，或在地震预警系统中产生虚假警报，从而使公众对地震监测失去信任，并可能影响应急和经济响应地震事件。

详文阅读：

https://www.helpnetsecurity.com/2021/02/16/seismic-monitoring-devices-cybersecurity/

来源：freebuf.com 2021-04-06 18:06:27 by: qinglianyun

文章版权归作者所有，未经允许请勿转载。

THE END