青莲晚报（第八十期）| 物联网安全多知道

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

三菱电机旗下工厂自动化产品被曝3个严重漏洞

近日，三菱电机公司相关产品被爆出三个严重漏洞，分别为CVE-2020-14496、CVE-2020-14521、CVE-2020-14523，漏洞对三菱电机公司的50个产品造成影响。这三个漏洞可能造成远程代码执行、路径遍历、机密文件泄露、文件被篡改和拒绝服务等危害。三菱电机公司及时做出反应，对部分受漏洞影响的产品提供了修复更新；对暂未提供修复更新的产品给出了缓解措施建议。

详文阅读：

https://www.secrss.com/articles/24473

亚马逊 Alexa 现漏洞：可能会曝光用户个人信息及语音历史

据外媒neowin报道，安全研究人员在亚马逊的Alexa语音平台上发现了一个漏洞。Check Point Research表示，当漏洞被利用时，攻击者可能会获得用户的个人信息，这些信息包括用户的亚马逊账号信息以及语音历史。

研究人员在对Alexa智能手机应用进行测试时发现了这个漏洞。他们使用一个脚本绕过了保护应用流量的机制，该机制则允许他们以明文查看该应用。他们还发现，该应用发出的几个请求存在策略配置错误情况，这可能会使其绕过该策略从而从恶意方控制的域发送请求。

在现实世界中，坏人可能会说服不知情的用户点击一个连接到Amazon的恶意链接，该链接实际上具有代码注入功能。一旦被点击，攻击者就能获得用户在Alexa上安装的应用和功能列表。另外，他们还可以远程为受害者安装和启用新技能。更严重的攻击者还可以从用户的Alexa账号中获取他们的语音历史以及个人信息。

Check Point的产品漏洞研究负责人Oded Vanunu在一份新闻稿中说道：“智能扬声器和虚拟助手如此普遍，以至于人们很容易忽视它们所拥有的个人数据以及它们在控制我们家中其他智能设备方面所起的作用。但黑客将其视为进入人们生活的入口，让他们有机会在所有者不知情的情况下访问数据、窃听对话或进行其他恶意行为。”

Vanunu补充称，该研究公司在6月份就向亚马逊强调过这一缺陷，后者也做出了修复回应。“我们开展这项研究是为了强调保护这些设备对维护用户隐私是怎样得重要。谢天谢地，亚马逊对我们的泄露做出了迅速反应，他们关闭了某些亚马逊/Alexa子域名上的这些漏洞。”

详文阅读：

http://hackernews.cc/archives/31718

Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络

如果你使用了智能门锁，并且使用的是August smart lock Pro + Connect的话，请注意，该门锁中未打补丁的安全漏洞意味着黑客可以完全访问你的Wi-Fi网络。

首先，August smart lock Pro + Connect门锁允许用户控制房屋的大门或其他地方，房主只需轻按即可解锁/锁定门，还能授予客人访问权限，监督其他人进入或离开房屋。

由于缺乏必要的硬件，该设备无法直接连接到互联网，因此，当用户在一定范围内时，可以通过蓝牙低能耗（BLE）控制锁定。而为了满足远程管理的需求，August应用程序形成了一个+ Connect Wi-Fi网桥，与互联网建立连接，再由控制智能锁的用户来回传递命令。

然而，在这种情况下，设备之间的命令用传输层安全（TLS）加密，不能以任何方式修改或利用。除此之外，只有所有者在其帐户中注册了锁，才能配置与无线网络相连的August连接。而用户通过两步验证获得对帐户的访问权限，因此所有者具有完全权限，可以授予访客全部或有限访问权限，接收即时通知并检查状态。

当然，为了实现这些功能，August Smart Lock Pro + Connect会连接到用户的Wi-Fi网络。在没有可用的键盘/输入设备的情况下，August使用一种通用技术来确保连接。该设备进入设置模式，作为接入点启用与智能手机的链接。随后，应用程序会将Wi-Fi登录凭据传递给智能锁，但这个通信是开放的（未加密），因此容易受到攻击。值得注意的是，虽然设备的固件会加密登录凭据，但使用的是ROT13，这是一种简单的密码，很容易被附近的黑客破解。

最后，不得不提一下漏洞从发现到披露的过程：

2019年12月9日：与受影响的供应商进行初步联系，交换了PGP密钥

2019年12月10日：供应商提前收到报告的副本

2019年12月18日：信息再次发送给受影响的供应商

2019年12月18日：漏洞已确认

2019年12月18日：CVE-2019-17098

2020年5月11日：供应商要求在2020年6月上旬安排公开

2020年1月16日：Bitdefender准备更新

2020年7月2日：Bitdefender准备另一次更新

2020年8月6日：Bitdefender没有收到供应商的回音，公开漏洞。

将近8个月后，这个漏洞依然存在。

详文阅读：

http://hackernews.cc/archives/31715

攻击者正在利用思科企业级路由器中的两个零时差漏洞

一项技术支持措施表明，在攻击者试图积极利用的思科企业级路由器上运行的操作系统中，存在两个零日漏洞。

思科计划发布软件更新来填补这些安全漏洞，但同时建议管理员实施所提供的一项或多项缓解措施。

关于漏洞

两个零日漏洞– CVE-2020-3566和CVE-2020-3569 –影响Cisco IOS XR软件的距离矢量多播路由协议（DVMRP）功能，该功能运行在面向服务提供商，数据中心的Cisco企业级路由器上，企业和关键基础架构。

未经授权的远程攻击者可以通过将精心制作的IGMP（Internet组管理协议）流量发送到受影响的设备来利用它们。

成功的利用可能使攻击者导致内存耗尽，从而导致其他进程的不稳定。这些过程可能包括，但不限于，内部和外部路由协议，”思科解释。

拟议的缓解措施包括：

为IGMP流量实施速率限制器

实现对现有接口访问控制列表（ACL）的访问控制项（ACE）。该公司指出：“或者，客户可以为特定接口创建新的ACL，该ACL拒绝该接口上的DVMRP流量入站。”

该公司还提供了危害指标，即，基于这些漏洞的利用，如果设备正经历内存耗尽，则可以在系统日志中看到消息。

他们补充说：“如果在多播路由下配置了活动接口，则这些漏洞会影响运行任何版本Cisco IOS XR软件的任何Cisco设备。”

详文阅读：

https://www.helpnetsecurity.com/2020/09/01/zero-day-cisco-enterprise-routers/

自动柜员机制造商修复了允许非法取款的缺陷

ATM制造商Diebold Nixdorf和NCR已修复了许多软件漏洞，这些漏洞使攻击者可以在具有或没有SYSTEM特权的情况下执行任意代码，并且可以通过进行存款伪造和发布有效的货币分配命令来进行非法现金提取。

关于漏洞

“运行Wincor Probase版本1.1.30的Diebold Nixdorf ProCash 2100xe USB ATM不会对现金和支票存款模块（CCDM）与主机之间的消息进行加密，身份验证或验证。具有物理访问权的内部ATM组件的攻击者可以拦截和修改消息，例如所存货币的数量和价值，然后将修改后的消息发送到主机，”卡内基梅隆大学的CERT协调中心解释了CVE- 2020-9062。

存款伪造攻击始于攻击者存入实际货币并修改了从CCDM到主机的消息，以指示其金额或价值大于实际存入的金额或价值，最后以攻击者提取人为增加的货币金额或价值为目的（在由其他金融机构运营的ATM机上）。

在运行APTRA XFS 04.02.01和05.01.00的NCR SelfServ ATM中，发现了具有相同攻击潜能的类似漏洞（CVE-2020-10124）：该软件不对束之间的消息进行加密，认证或验证完整性钱币接收器（BNA）和主机。

由于该软件对证书的不良实施以验证BNA软件更新以及对BNA的软件更新的不正确验证而产生了另外两个缺陷（CVE-2020-10125和CVE-2020-10126），这可能使攻击者可以在其中执行任意代码主机（具有或不具有SYSTEM特权）。

运行APTRA XFS 05.01.00或更旧版本的NCR SelfServ ATM也存在两个缺陷：