随着物联网智能终端数量的爆发式增长,安全问题也不断暴露出来。很多攻击者从物联网设备的固件入手,对固件进行破解,寻找可被利用的漏洞或可攻击的弱点,对固件进行恶意攻击。
物联网设备的固件安全漏洞,主要有两类:一类是固件自身安全漏洞,主要包括开发过程中的代码缺陷、程序错误;不安全的配置信息;敏感信息、密钥信息泄露三方面的安全漏洞。另一类是集成的第三方软件漏洞,主要包括使用不被维护的第三方软件和版本滞后的第三方软件,这些软件缺乏安全性上的重视和漏洞审查,存在安全隐患。
历年来,固件安全一直是IoT终端安全的薄弱点之一,媒体报道的固件安全案例包括:
1)贝尔金路由器的固件存在缓冲区溢出漏洞,自动默认启用网络访问功能且无需身份验证,攻击者可利用该漏洞获取root访问权限,执行恶意操作
2)D-Link路由器的固件泄露了公司内部使用的私有密钥,攻击者可能会利用密钥对恶意软件进行签名,以此欺骗普通用户进行安装
3)海康威视摄像头的固件存在弱口令风险和第三方软件漏洞,攻击者可从固件中获取到用户名密码信息,直接登录进行恶意攻击
4)丰田和雷克萨斯汽车的固件存在敏感信息泄露的漏洞,攻击者利用该漏洞可发起远程攻击,实现远程控制汽车
……
面临严峻的物联网安全态势,物联网相关的国家/行业标准法规中也开始普遍重视物联网设备固件的安全性,其中《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》明确了固件安全要求,需要保证固件上线前经过安全检测。
对于企业厂商和监管机构而言,物联网设备的固件安全检测已经刻不容缓。
梆梆安全固件安全检测平台重磅升级,更精确更全面更闭环
梆梆安全早在2018年即推出固件安全检测平台,产品经过运营商、智能家居、能源、车联网等物联网行业客户广泛验证。
2020年5月全新升级的固件检测2.0版本,包含五大能力,助力厂商全面排查固件安全隐患。
1)漏洞风险检测:覆盖CVE漏洞库平台、CNNVD漏洞库平台10余万漏洞,支持国际代码安全漏洞平台(CWE)的代码风险检测,具备国内外漏洞风险检测能力
2)安全合规检测:对标国际物联网漏洞标准OWASP IoT TOP10,符合国内《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》“工业控制系统安全扩展要求安全”的规定,保障固件上线前的安全测试
3)固件成分与数据安全检测:智能识别固件基本信息,准确检测固件内敏感信息、数据信息和第三方软件漏洞等
4)专业的风险解决建议:提供固件风险漏洞定位及修复建议
5)智能检测模板与报告:基于不同场景自主选择检测模板,带来更直观、符合需求的检测报告
更新后的版本,从以下三个方面全面提升产品价值:
1. 漏洞检测、问题定位更精确
1)增强了国内外漏洞库平台的兼容支持,自动化完成组件漏洞分析,不遗漏不误报
2)智能识别固件类型,遍历固件文件,精准匹配漏洞特征,检测出风险代码位置
2. 检测能力大幅提升,检测内容更全面
1)从固件基本信息、敏感信息、密钥信息、配置文件、代码缺陷等维度全面检测风险漏洞
2)准确识别固件内第三方软件成分、以及软件漏洞,提供漏洞索引、严重程度和漏洞定位
3. 专业解决建议,让固件漏洞更闭环
1)针对固件风险漏洞提供详细定位及专业的修复建议
2)支持漏洞文件下载及问题代码查看,助力开发者闭环完成漏洞的发现与修复
梆梆安全固件安全检测平台为开发者提供了一种便捷的、自动化的检测方式,能够快速实现物联网设备固件安全隐患的检测。平台通过自动化的方式从固件自身信息、敏感信息、代码安全、配置风险、CVE漏洞等多个检测维度,识别和分析物联网设备固件可能存在的风险漏洞,提早发现固件安全问题,提升物联网设备的安全强度,避免固件漏洞被恶意利用导致信息泄露、设备功能故障等,也降低厂商的更新、回收和升级成本。
面向IoT开发企业,梆梆安全已经建立了涵盖事前风险检测、事中安全防护、事后资产监测的全生命周期保护方案,可以为IoT开发及相关企业提供一体化安全服务。
来源:freebuf.com 2020-06-10 09:25:57 by: 梆梆安全
请登录后发表评论
注册