这里记录值得分享的IoT安全动态。
本专栏开源(GitHub: IoT-Sec-QLab/IoT-Sec-Daily-News),欢迎提交 issue,投稿或推荐IoT安全相关动态。
1、Rockwell Automation Arena 仿真软件存在漏洞
不知情用户打开的恶意制作的 Arena 文件可能会导致应用程序崩溃或执行任意代码。
2、Tridium Niagara 存在提权漏洞,可导致信息泄露、不当授权等问题。
Tridium Niagara是智能楼宇领域的开发框架,这里有一个介绍Slide,该公司已于2005年被霍尼韦尔收购。
3、维控科技 LeviStudioU 存在缓冲区溢出漏洞
成功利用这些漏洞可能允许攻击者执行任意代码。LeviStudioU是纬控科技生产的人机界面(HMI)。
4、CVE-2018-6692: Belkin Wemo Insight 智能插座依然易受攻击
据该文章披露,该智能插座被曝出漏洞问题将近一年后的今天,厂商依然未引入修复程序,尽管制造商已被告知安全缺陷。
5、美国第一个物联网安全法从2020年1月1日起将在加州实行
该法案实行后,所有在加州售卖的物联网设备都必须采取更强有力的网络安全防护措施。
“2008 年,举报人 James Glenn 发现软件漏洞,当时他在丹麦担任思科分包商,当时他发现可以侵入视频软件并接管监控系统,而不会被其他人发现。
Glenn先生被解雇,这是该公司所说的削减成本措施的一部分, 5个月后,他报告了这一漏洞。一年后,即 2010 年 6 月,他意识到思科没有修复该缺陷,他仍然可以侵入监控系统。不久之后,他联系了F.B.I.讨论这个问题。”
7、Palo Alto Networks 以7500万美金收购IoT安全公司zingbox
zingbox公司的业务方向包括IoT设备发现、识别和分类,建立IoT行为存储库以识别异常的IoT设备行为,以及监控设备利用率等,帮助企业降低成本。
8、Cruise 开源了他们的固件分析工具 FwAnalyzer
Github:https://github.com/cruise-automation/fwanalyzer
FwAnalyzer 是一种使用一组可配置规则分析 (ext2/3/4)、FAT/VFat、SquashFS、UBIFS 文件系统图像和目录内容的工具。
相关资源
该Github repo收集了包括:
- 怎么找到存在漏洞的设备列表
- IoT安全相关的论坛
- 相关的书籍
- IoT安全相关的技术博客
- 相关CTF
- 相关Youtube频道
- 相关协议的渗透测试
- 相关工具
2、exploitee 网站
该网站收录了一个存在安全漏洞的设备列表,并提供复现漏洞的详细指南。
有意思的是,设备列表中不只有常见的IoT类型如路由器等,还包含了蓝光播放器、相机、医疗设备、电视、灯泡等存在漏洞的例子。
相关文章
1、不同厂商的物联网安全技术白皮书
- 《物联网安全技术白皮书》—大华
该白皮书主要从物联网面临的安全威胁出发,介绍大华网络安全架构及所采用的安全技术和安全策略。
该技术规范针对终端应用提出了通用的安全技术要求。
IoT CVE 每日一读
MicroDigital N-系列摄像头6400.0.8.5.版本固件存在固件更新不安全的漏洞,可上传任意固件更新到设备中。此外该设备还存在其他11个漏洞。包括拒绝服务漏洞、任何有效的 Cookie 都可用于作为管理员发出请求漏洞、SSRF、CSRF、SQL注入、任意文件读取、命令注入、缓冲区溢出等漏洞。
若有收获,就点个赞吧
0 人点赞
