物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。智慧工业、智慧城市 、智慧交通、智慧健康、智慧能源等领域将最有可能成为产业物联网连接数增长最快的领域。

当业界在推动产业物联网高速发展同时,物联网安全问题也给我们敲响了警钟。2020年,国内外挖矿、设备劫持事件频发,智能家居产品不断爆出安全漏洞,漏洞被利用时将造成不可逆的经济损失,同时也反映在物联网产业建设初期,安全作为物联网应用的基础设施的重要性。

青莲云物联网安全研究院整理了2020年国内外物联网安全漏洞,希望设备厂商、项目设计方、实施监理方等能够更加重视物联网安全,在项目初期建设环节引入物联网安全解决方案,尽量减少不必要的安全风险。

青莲云安全点评

  • 物联网安全漏洞已从早期的业务逻辑漏洞延伸到硬件架构、通信协议、操作系统、开源组件等核心基础架构

  • 物联网业务场景的联动融合性增强,设备单点漏洞将成为整体安全防护体系的突破口

  • 超过60%的漏洞存在于物联网设备固件中,开展固件安全检测工作意义重大

  • 超过50%的漏洞没有补丁或者升级修复难度极大

  • 大部分中小型制造商的物联网设备安全问题更为严重

(数据来源:IOTVD青莲云物联网安全漏洞库)

物联网安全漏洞详情

一月

小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能

http://hackernews.cc/archives/29111

美国Ruckus无线路由器中发现3个严重漏洞 被黑客远程控制路由器
http://mini.eastday.com/a/200103093854236.html

二月

Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令
http://hackernews.cc/archives/29351

CVE-2020-6007:Philips智能灯泡安全漏洞

https://www.4hou.com/posts/lM41

新的Wi-Fi加密漏洞披露,超十亿台设备受影响

https://mp.weixin.qq.com/s/GDvJPHvnGd-2EHo4yZ5P3g

三月

Intel 处理器曝新漏洞 打补丁性能骤降 77%

http://hackernews.cc/archives/29702

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

http://hackernews.cc/archives/29677

17 年历史的 RCE 漏洞已影响数个 Linux 系统

http://hackernews.cc/archives/29664

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

http://hackernews.cc/archives/29640

Mukashi:新Mirai变种攻击Zyxel NAS设备

https://www.4hou.com/posts/pX4N

Unit42Threat安全团队发布的《2020年物联网威胁报告》,多达83%的联网医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。

http://www.elecfans.com/d/1187727.html

四月

CVE-2020-10882: TP-Link 命令注入漏洞通告

https://cert.360.cn/warning/detail?id=ea0df6b0ad71ae8540e9582ff74b7a60

D-Link DSL-2640B设备多个最新漏洞利用分析

https://www.4hou.com/posts/kOJ5

利用Safari浏览器的7个0-day漏洞利用链劫持相机

https://www.4hou.com/posts/DJMx

TP-Link Archer A7命令注入漏洞分析

https://www.anquanke.com/post/id/202671

福特、大众被曝网络安全漏洞,黑客可窃取隐私、操控车辆

https://www.freebuf.com/news/233955.html

五月

苹果蓝牙保护框架MagicPairing被披露10个0day漏洞

https://www.secrss.com/articles/19615

联发科被在野利用的 RootKit 漏洞分析(CVE-2020-0069)

https://www.4hou.com/posts/n8Ql

破门而入:智能门禁系统安全

https://www.anquanke.com/post/id/204342

六月

思科在工业路由器,交换机中塞满了安全漏洞

https://www.helpnetsecurity.com/2020/06/04/cisco-plugs-security-holes/

LG曝安全漏洞,影响过去7年的LG安卓智能手机

https://www.4hou.com/posts/p7zX

Ripple20漏洞曝光:19个0 day漏洞影响数十亿IoT设备

https://blog.csdn.net/systemino/article/details/106838301

Netgear 数十款路由器曝出严重漏洞,影响79种不同型号设备

https://www.4hou.com/posts/yMJR

思科报告称:智能汽车易受黑客攻击 通过漏洞可实现“远程控制”

https://www.easyaq.com/news/2147307840.shtml

Linux 再次严辞拒绝 Intel CPU 漏洞补丁

http://hackernews.cc/archives/30974

NVIDIA显卡驱动曝出多安全漏洞,部分Windows和Linux设备受到影响

https://www.4hou.com/posts/g66r

D-Link路由器曝多个安全漏洞

https://www.4hou.com/posts/AA8j

LoRaWAN协议栈首曝通用安全漏洞,数亿物联网设备倍感“威胁”

https://baijiahao.baidu.com/s?id=1669835160607888631&wfr=spider&for=pc

交通信号灯曝严重漏洞,可人为操控引发交通瘫痪

https://www.freebuf.com/news/239632.html

七月

联发科芯片Rootkit漏洞分析(CVE-2020-0069)

https://www.freebuf.com/vuls/242378.html

BootHole漏洞影响数十亿Windows和Linux设备

https://www.4hou.com/posts/ZpDw

八月

三菱电机旗下工厂自动化产品被曝3个严重漏洞

https://www.secrss.com/articles/24473

亚马逊 Alexa 现漏洞:可能会曝光用户个人信息及语音历史

http://hackernews.cc/archives/31718

Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络

http://hackernews.cc/archives/31715

攻击者正在利用思科企业级路由器中的两个零时差漏洞

https://www.helpnetsecurity.com/2020/09/01/zero-day-cisco-enterprise-routers/

自动柜员机制造商修复了允许非法取款的缺陷

https://www.helpnetsecurity.com/2020/08/21/atm-illegal-cash-withdrawals/

九月

苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码

https://www.4hou.com/posts/Jlpl

D-Link摄像头在野0-Day漏洞分析报告

https://www.secrss.com/articles/25903

可 3 秒入侵 Windows 服务器:微软敦促客户尽快修复 Zerologon 漏洞

http://hackernews.cc/archives/32301

十月

谷歌在Linux内核发现蓝牙漏洞 攻击者可任意访问敏感信息

https://www.easyaq.com/news/2147307904.shtml

十一月

群晖 SRM 组件存在多个安全漏洞

https://www.4hou.com/posts/mGvn

工业控制系统存在可导致远程代码攻击的严重漏洞

http://hackernews.cc/archives/33556

微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞

http://hackernews.cc/archives/33527

打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接

http://hackernews.cc/archives/33338

十二月

全球超过 100 万物联网设备受影响 安全专家发现 33 个漏洞

https://www.helpnetsecurity.com/2020/12/09/vulnerable-tcp-ip-stacks/

D-Link路由器容易受到可远程利用的根命令注入漏洞的攻击

https://www.helpnetsecurity.com/2020/12/08/d-link-routers-vulnerability/

日本川崎重工披露安全漏洞

http://hackernews.cc/archives/34436

Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备

http://hackernews.cc/archives/34304

CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备

http://hackernews.cc/archives/34260

谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞

http://hackernews.cc/archives/34107

黑客可利用漏洞攻击 D-Link VPN 路由器

http://hackernews.cc/archives/33995

iPhone里的照片、私人信息一览无余!谷歌近日曝光了一个iOS严重Wi-Fi漏洞

https://www.easyaq.com/news/2147307929.shtml

多款 Schneider Electric 产品代码问题漏洞

https://www.anquanke.com/vul/id/2268377

AMNESIA:33:33个Bug驻留在四个开源TCP/IP堆栈中

https://blog.csdn.net/weixin_45728976/article/details/111308134

以上报告由青莲云物联网安全研究院收集整理,如果您的企业有任何物联网安全问题或物联网安全建设需求,欢迎与青莲云取得联系,我们将第一时间为您提供详细的安全咨询服务。

相关推荐: 攻击者可利用DNSpooq漏洞劫持DNS,数百万设备受到影响

以色列安全咨询公司JSOF披露了七个Dnsmasq漏洞,这些漏洞被统称为DNSpooq,可被攻击者用于发起DNS缓存投毒、远程执行代码和拒绝服务攻击,数百万设备受到影响。 Dnsmasq是一个流行的、开源的域名系统(DNS)转发软件,经常用于将DNS缓存和动态…

最后修改:2021 年 04 月 27 日 06 : 28 PM