{子标题}

不安全的物联网菇扣:黑客利用固件漏洞的8种方式
作者:佚名 | 来源:D1Net
2019-09-24
微软公司最近在拉斯维加斯举行的年度黑帽大会上发布了一个消息禾溉税,这引发了人们对常见的物联网(IOT)设备对企业网络进行大规模攻击的一个恶意黑客集团的关注忍悼欧。

 

微软公司最近在拉斯维加斯举行的年度黑帽大会上发布了一个消息观,这引发了人们对常见的物联网(IOT)设备对企业网络进行大规模攻击的一个恶意黑客集团的关注矗庭。

微软公司表示聪胜岔,这个黑客集团为了侵入企业网络瓣,采用了几种物联网设备钒,其中包括IP语音电话缮喂蛙、Wi-Fi办公室打印机贤哺、视频解码器等厂。微软公司表示蜡钞,这些攻击是由一个名为Strontium的组织(也称为Fancy Bear或APT28)进行的筐蓟,该组织与某个军事情报机构有所关联渴湘。

根据Gartner公司的调查绷,到2020年暑墓,家庭和企业用户将使用140亿多台物联网设备逼靛。鉴于微软公司发布的消息快乐赛车我的等候 你没听过“啊,是。”木开,现在是审查固件中的安全风险的时候了鸡。固件是为物联网设备的硬件提供低级控制的特定软件类别缕。固件安全被广泛认为是一个紧迫的网络安全问题报篮,它是黑客用来在网络中立足的无保护的常见攻击面腹蒲桓。不安全的物联网设备本质上是一个没有上锁的大门撇鞠,这意味着一旦攻击者控制物联网设备库嚏,就可以侵入到任何公司的网络中农。

黑客积极利用物联网安全的弱点访氦辽,而不是攻击设备本身派视,并将其作为各种恶意行为的起点磊伦狡,这些恶意行为可能包括分布式拒绝服务攻击卉、恶意软件分发汐、垃圾邮件肝闹统、网络钓鱼洁倦、点击欺诈袒,以及信用卡诈骗等等榷遁。因此头豪,在设备漏洞导致企业的收入损失涪犀、诉讼券、公司声誉受损之前吝浓仕,需要了解8个最常见的固件漏洞怕膜,以确保企业网络没有敞开大门磊附截。

1.未经身份验证的访问秋钳蕉:固件中最常见的漏洞之一喊露抬,未经身份验证的访问允许威胁参与者获得对物联网设备的访问权限色世,从而可以轻松利用设备数据及其提供的任何控制戈。

2.弱认证凤鹿:当固件具有弱认证机制时媳,威胁参与者可以轻松访问设备秆恢。这些机制的范围可以从单因素和基于密码的身份验证到基于弱加密算法的系统瞪将,这些算法可以通过暴力攻击进行破解田低都。

3.隐藏后门芦:在固件方面乐彩稗,隐藏后门是黑客最喜欢利用的快乐赛车我发问道:22 朝廷辩护漏洞分朝算。后门是植入嵌入式设备中的有意漏洞苦疙臀,可向任何具有“秘密”身份验证信息的人提供远程访问谈窘。虽然后门可能有助于客户支持歉实,但当恶意行为者发现后门时返,它们可能会产生严重后果善。而黑客很擅长发现它们奇肥脑。

4. 哈希密码啼济:大多数设备中的固件包含用户无法更改的硬编码密码或用户很少更改的默认密码涤蜗。两者都导致相对容易利用的设备秦。2016年廷,Mirai僵尸网络在全球范围内感染了250万多台物联网设备姬,利用物联网设备中的默认密码执行DDoS攻击柒,Netflix脐、亚马逊和纽约时报等一些大公司都遭到了这样的攻击盘。

5.加密密钥渺旅痴:当以易于被黑客攻击的格式存储时四恳汉,如20世纪70年代首次引入的数据加密标准(DES)的变体褂斜,加密密钥可能给物联网安全带来巨大问题卷钢。尽管已经证明数据加密标准(DES)安全性不足棱侮淀,但它仍然在使用茧仕售。黑客可以利用加密密钥窃听通信苯怒,获取对设备的访问权限输效烹,甚至可以创建可以执行恶意行为的恶意设备铰胁。

6. 缓冲区溢出哆:当对固件进行编码时川,如果程序员使用不安全的字符串处理函数购揩拇,可能会导致缓冲区溢出吻救,这将会出现问题揉肥。攻击者花费大量时间查看设备软件中的代码季瓮络,试图找出导致不稳定的应用行为或漏洞哀,从而打开安全漏洞的路径恃。缓冲区溢出可以允许黑客远程访问设备肠疯磐,并且可以实现创建拒绝服务和代码注入攻击挽。

7. 开源代码淘:开源平台和库使复杂的物联网产品得以快速发展喉铝。然而拔,由于物联网设备经常使用第三方开放源代码组件奔肌酚,这些组件通常具有未知或未记录的源代码狮,因此固件经常被保留为无法抵御黑客的未受保护的攻击面便绦。通常观方厂,只需更新到最新版本的开源平台就可以解决这个问题俗可膜,但许多设备已经发布夏躬匣,其中包含已知漏洞防。

8.调试服务窍端汾:物联网设备测试版中的调试信息为开发人员提供了设备的内部系统知识裂嚏爬。不幸的是坊肌眠,调试系统通常留在生产设备中呈此,使黑客能够访问设备的相同内部知识吴戎。

随着新的物联网产品迅速推向市彻崖亍,企业可以尽快利用物联网部署的诸多优势遁,并且不会对其安全性担忧桓触歧。

好消息是橡,上面列出的最常见的物联网漏洞是可以避免的凉,并且可以在不给制造商带来额外成本的情况下进行补救垒萝陆。在物联网安全方面芳,一套良好的初始最佳实践包括宠穗:

(1)升级物联网设备上的固件篡,并更改默认密码漏。

(2)编制网络上的物联网设备清单唬,以便全面了解风险汤鞘涛。

(3)联系部署企业网络上的物联网设备的制造商厩垮朔,询问他们是否已经考虑对常见漏洞进行修补蹭。否则短,要求他们在固件和物联网设备中实施安全编码实践逆讥勒。

责任编辑碧:焦旭