当今社会物联网设备已经逐步渗透到人们生产生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高,物联网设备的安全性问题也逐渐影响到人们的正常生活,甚至生命安全,物联网设备安全不容小觑。
以下为近日的物联网安全新闻内容。
攻击者正利用 CAN 注入窃取汽车
在万物逐渐互联的当下,利用漏洞攻击并控制汽车已经不是什么新鲜事。最近,专家警告称,网络犯罪分子正利用控制器局域网总线(CAN)注入攻击的方式窃取联网汽车。
对这项攻击的调查由 EDAG 集团汽车网络安全专家 Ian Tabor 和 Canis Automotive Labs,以及首席技术官 Ken Tindell 发起,因为Tabor自己的丰田RAV4汽车曾在2021年被盗,他们所揭露的漏洞被追踪为CVE-2023-29389。
Tabor观察到,他的汽车在被盗前几天,拱形轮辋和前保险杠被拉下,大灯的接线插头被拆下,汽车漆面有螺丝刀产生损坏痕迹。Tabor分析了丰田MyT应用程序的数据记录,发现他的RAV4中的电子控制单元(ECU)已经检测到多个故障,并在盗窃发生之前被记录为诊断故障代码(DTC)。
进一步调查显示,攻击者通过CAN注入,利用智能前照灯的线路进入了汽车的系统总线。CAN 总线几乎存在于所有现代化车辆中,微控制器使用它在不同系统之间进行通信并执行其功能。
在这种类型的攻击中,攻击者获得网络访问权限,通过智能钥匙接收器发送虚假指令,这些信息会“诱骗”汽车的安全系统解锁车辆并解除发动机防盗装置,从而让汽车被成功偷走。此漏洞的存在是因为大多数车型的内部指令不受任何安全机制保护,无法对其进行辨别。
需要注意,攻击者不能直接连接到智能钥匙,而必须通过连接到大灯的线缆,只有当两者都在同一CAN总线上时,才能连接。此外,攻击者必须通过某种特殊设备与线缆相连,向 ECU 发送伪造的 CAN指令,并向车门 ECU 发送另一条指令来验证密钥以解锁汽车。据悉,这种特殊设备在暗网可以卖到5500美元,且不仅仅针对丰田,包括宝马、GMC、凯迪拉克、克莱斯勒、福特、本田、捷豹、吉普、玛莎拉蒂、日产、标致、雷诺和大众在内的汽车品牌均有涉及。
这一发现凸显了增强汽车安全措施的必要性,以防止利用CAN 注入攻击的车辆盗窃行为。汽车制造商和网络安全专家解决此漏洞并实施必要的保护措施以保护现代车辆中的通信网络和系统。汽车厂商和网络安全专家需要解决这一漏洞,并实施必要的保障措施,以确保汽车的通信网络和系统安全。
详文阅读:
https://hackernews.cc/archives/43683
惠普企业级打印机出现严重漏洞,涉及 50 余种机型
近日,惠普在一份安全公告中宣布,修复影响某些企业级打印机固件的严重漏洞最多需要 90 天。
该安全问题被追踪为 CVE-2023-1707,它影响了大约 50 种 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型号。
该公司使用 CVSS v3.1 标准计算出的严重性得分为 9.1(满分 10),并指出利用该标准可能会导致信息泄露。
尽管得分很高,但由于易受攻击的设备需要运行 FutureSmart 固件版本 5.6 并启用 IPsec,因此存在利用环境受限的情况。
IPsec(Internet 协议安全)是用于企业网络的 IP 网络安全协议套件,用于保护远程或内部通信并防止未经授权访问资产(包括打印机)。
FutureSmart 允许用户通过打印机上可用的控制面板或用于远程访问的 Web 浏览器来工作和配置打印机。
在这种情况下,信息泄露漏洞可能允许攻击者访问易受攻击的 HP 打印机与网络上其他设备之间传输的敏感信息。
BleepingComputer 媒体已联系HP官方以了解有关该缺陷的确切影响的更多信息,以及供应商是否看到了积极利用的迹象,但目前还没有收到任何声明。
惠普表示,解决该漏洞的固件更新将在 90 天内发布,因此目前没有可用的修复程序。
对于运行 FutureSmart 5.6 的客户,建议的缓解措施是将其固件版本降级到 FS 5.5.0.3。
“惠普建议立即恢复到以前版本的固件(FutureSmart 版本 5.5.0.3)。预计将在 90 天内更新固件以解决该问题。” 惠普官方声明。
此外,还建议用户从HP 官方下载门户获取固件包,在那里他们可以选择自己的打印机型号并获取相关软件。
详文阅读:
https://hackernews.cc/archives/43646
三星 Exynos 芯片组爆出 18 个零日漏洞,影响多款产品
Bleeping Computer 网站披露,谷歌 Project Zero 安全团队在三星用于移动设备、可穿戴设备和汽车的Exynos 芯片组中发现了 18 个漏洞,包括 Pixel 6 系列、Pixel 7 系列、三星 Galaxy S22 系列和 Galaxy A53 等产品均受影响。
Exynos 芯片组中的安全漏洞发生在 2022 年末至 2023 年初,其中四个被评为高危漏洞,允许攻击者从互联网到基带执行远程代码。这些互联网到基带远程代码执行(RCE)漏洞(包括 CVE-2023-24033 和其它三个仍在等待 CVE-ID的漏洞)允许攻击者在没有任何用户交互的情况下,远程危害易受攻击的设备。
三星在一份描述 CVE-2023-24033 漏洞的安全咨询中表示,基带软件没有正确检查 SDP 指定接受的格式类型,可能导致三星基带调制解调器中的拒绝服务或代码执行。
Project Zero 安全团队负责人 Tim Willis 指出,潜在攻击者只要有受害者的电话号码,就可以发动袭击。更糟糕的是,只要稍微认真研究一下,经验丰富的攻击者便可以在不引起目标注意的情况下,轻而易举的利用漏洞远程攻击易受攻击的设备。
其余 14个 漏洞主要包括 CVE-2023-24072、CVE-2023-204073、CVE-202 3-24074、CVE-2022 3-24075、CVE-2020 3-24076 以及其它 9 个等待 CVE ID 的漏洞,虽然这些漏洞不会造成很严重的后果,但仍存在安全风险。
受影响设备列表包括但不限于:
三星的移动设备,包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列。
Vivo 的移动设备,包括 S16、S15、S6、X70、X60 和 X30 系列。
谷歌的 Pixel 6 和 Pixel 7 系列设备。
任何使用 Exynos W920 芯片组的可穿戴设备。
以及任何使用 Exynos Auto T5123 芯片组的车辆。
受影响设备可采取的解决方法
目前,虽然三星已经向其它厂商提供了漏洞安全更新,但这些补丁并不对所有用户公开。此外,每个制造商对其设备打补丁的时间表也有所不同,例如,谷歌已经在 2023 年 3 月的安全更新中针对受影响的 Pixel 设备解决了 CVE-2023-24033 问题。
好消息是,在安全补丁可用之前,用户可以通过禁用 Wi-Fi 呼叫和 Vo-over-LTE(VoLTE)来消除攻击媒介,从而挫败针对其设备中的三星 Exynos 芯片组的基带 RCE 利用尝试。
详文阅读:
https://hackernews.cc/archives/43518
TPM 2.0 爆出漏洞,数十亿物联网设备受到严重威胁
The Hacker News 网站消息,可信平台模块 ( TPM ) 2.0 参考库规范中爆出一个严重安全漏洞,这些漏洞可能会导致设备信息泄露或权限提升。
漏洞或影响数十亿物联网设备
2022 年 11 月,网络安全公司 Quarkslab 发现并报告漏洞问题,其中一个漏洞被追踪为 CVE-2023-1017(涉及越界写入),另一个漏洞追踪为 CVE-2023-1018(可能允许攻击者越界读取)。
Quarkslab 指出,使用企业计算机、服务器、物联网设备、TPM 嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响,并一再强调,漏洞可能会影响数十亿设备。
可信平台模块 (TPM)
可信平台模块 (TPM) 技术是一种基于硬件的解决方案,可为现代计算机上的操作系统提供安全的加密功能,使其能够抵抗篡改。
微软表示,最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用,在系统启动过程中,可以测量加载的启动代码(包括固件和操作系统组件)并将其记录在 TPM 中,完整性测量值可用作系统启动方式的证据,并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。
可信计算组织(TCG)
漏洞事件发酵后,可信计算组织(简称:TCG,由 AMD、惠普、IBM、英特尔和微软组成)指出,由于缺乏必要的检查,出现漏洞问题,最终或引起本地信息泄露或权限升级。CERT 协调中心(CERT/CC)在一份警报中表示,受影响的用户应该考虑使用 TPM 远程验证来检测设备变化,并确保其 TPM 防篡改。
最后,安全专家建议用户应用 TCG 以及其它供应商发布的安全更新,以解决这些漏洞并减轻供应链风险。
详文阅读:
https://hackernews.cc/archives/43421
新能源汽车不断发展的同时,充电桩成为黑客新目标
随着电动汽车近年来的销售量不断增长,电动汽车充电桩的需求也不断增加,但随之而来充电桩的网络安全问题也日益显现。
今年2月,新能源网络安全公司Saiflow的研究人员在开放充电点协议(OCPP)中发现了两个漏洞,可用于分布式拒绝服务(DDoS)攻击和窃取敏感信息。而爱达荷国家实验室最近发现,根据《能源》杂志对电动车充电漏洞研究的调查,在所检查的每个充电器仍然在运行未更新的Linux版本,允许许多服务以root身份运行。而且这些潜在的风险已经被不法分子利用。一年前,俄乌战争爆发开始,黑客攻击了莫斯科附近的充电站,使其瘫痪。
之所以充电桩网络安全问题日益凸显,是因为电动汽车的销售在全世界蓬勃发展。以美国为例,根据JD Power的数据,电动汽车的销量占2022年所有车辆销售的5.8%,高于前一年的3.2%。根据美国能源部的数据,目前,美国只有不到5.1万个快速充电站,能同时为13万辆汽车充电的能力。但是,截至2022年6月,注册的电动汽车超过150万辆,这意味着每一个公共充电端口要服务11辆汽车。
为了满足需求,解决电动汽车充电难的问题,拜登政府的目标是到2030年将车辆充电桩的数量增加到50万个。但是这也引起了网络安全专家的担心,因为这种急于求成的做法不利于网络安全的建设。大多数电动车充电器是一种物联网技术,这么多设备大量投放,而往往连接到单一的系统,鉴于基础设施的连接性和潜在的破坏能力,如何去实施、建设是不得不考虑问题。
物联网、OT和关键基础设施
技术的革新在许多方面引领了电动汽车行业的发展,其中也包括电动汽车充电设备的进化,这些设备通过移动应用程序进行连接,它们也将成为交通网络的一个重要组成部分,就像其他操作技术(OT)一样。
当然,由于电动车充电站必须连接到公共网络,确保它们的通信是加密的,这对维护设备的安全至关重要。黑客往往会在公共网络上寻找安全性差的设备,因此,充电桩运营商必须采取严格的保护措施,让黑客攻击无从下手。
消费者设备也是一个问题。根据ChargePoint数据显示,大约80%的充电是在家里进行的。但往往这些设备可能更容易被攻击,因为消费者并不关注,也没有意识关注网络安全。
因此,对于普通的用车用户来说,强制建立正确的安全保障是不现实的,所以,确保设备本身以及通信加密应该始终是供应商的责任。
政府在电动车网络安全方面的作用
有人表示,政府应该对公司及运营商制定标准,以防止网络安全漏洞。例如,桑迪亚国家实验室(Sandia National Laboratories)建议采取一系列措施来加强网络安全,包括改善电动汽车车主的身份验证和授权,为充电桩的云组件增加更多安全性,以及加强充电装置以防止物理篡改。
目前市面上电动汽车充电桩的运营商,都是以营利为目的公司,出于预算的考虑,他们基本不会选择最安全的网络实施方案。这种时候,政府可以通过加强规范、标准和和制定相关的行业法规来约束车企及运营商,同时进一步保护用户免受网络攻击的威胁。
详文阅读:
https://hackernews.cc/archives/43419
关于青莲云
北京方研矩行科技有限公司(简称:青莲云)是一家专业的物联网安全解决方案供应商。公司依托多年来在物联网安全领域的攻防实战经验以及完整的智能终端研发经验,将“安全”与“业务”无缝结合,为企业客户提供覆盖物联网云平台安全、终端安全、通信安全、可信安全、安全测试、威胁情报、态势感知等端到端的物联网安全整体解决方案。
公司获得国内多家投资机构千万级投资,并拥有国家高新技术企业、中关村高新技术企业、ISO9001、ISO27001、ISO27017、ISO27018等多项企业资质,先后入选IDC年度行业报告《IDC创新者:中国物联网安全,2017》、Gartner年度行业研究报告《2019数字创新业务Cool Vendor》以及Gartner China Cybersecurity推荐厂商。通过扎实的安全研究功底、良好的产品体验、优秀的服务质量赢得了众多行业客户的信赖与支持,产品及服务先后落地智慧城市、国家电网、商业地产、新能源充电、工业制造、智慧金融等众多领域。
目前,青莲云已同国家电网、中国电信、深信服、微软中国、中软集团、公安部三所等知名企事业单位达成合作,助力企业实现安全稳定的数字化、智能化转型。
热门跟贴