物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。智慧工业、智慧城市 、智慧交通、智慧健康、智慧能源等领域将最有可能成为产业物联网连接数增长最快的领域。
当业界在推动产业物联网高速发展同时,物联网安全问题也给我们敲响了警钟。2020年,国内外挖矿、设备劫持事件频发,智能家居产品不断爆出安全漏洞,漏洞被利用时将造成不可逆的经济损失,同时也反映在物联网产业建设初期,安全作为物联网应用的基础设施的重要性。
青莲云物联网安全研究院整理了2020年国内外物联网安全漏洞,希望设备厂商、项目设计方、实施监理方等能够更加重视物联网安全,在项目初期建设环节引入物联网安全解决方案,尽量减少不必要的安全风险。
青莲云安全点评
物联网安全漏洞已从早期的业务逻辑漏洞延伸到硬件架构、通信协议、操作系统、开源组件等核心基础架构
物联网业务场景的联动融合性增强,设备单点漏洞将成为整体安全防护体系的突破口
超过60%的漏洞存在于物联网设备固件中,开展固件安全检测工作意义重大
超过50%的漏洞没有补丁或者升级修复难度极大
大部分中小型制造商的物联网设备安全问题更为严重
(数据来源:IOTVD青莲云物联网安全漏洞库)
安全漏洞内容
一月
小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能
美国Ruckus无线路由器中发现3个严重漏洞 被黑客远程控制路由器
二月
Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令
CVE-2020-6007:Philips智能灯泡安全漏洞
新的Wi-Fi加密漏洞披露,超十亿台设备受影响
三月
Intel 处理器曝新漏洞 打补丁性能骤降 77%
微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞
17 年历史的 RCE 漏洞已影响数个 Linux 系统
英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁
Mukashi:新Mirai变种攻击Zyxel NAS设备
Unit42Threat安全团队发布的《2020年物联网威胁报告》,多达83%的联网医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。
四月
CVE-2020-10882: TP-Link 命令注入漏洞通告
D-Link DSL-2640B设备多个最新漏洞利用分析
利用Safari浏览器的7个0-day漏洞利用链劫持相机
TP-Link Archer A7命令注入漏洞分析
福特、大众被曝网络安全漏洞,黑客可窃取隐私、操控车辆
五月
苹果蓝牙保护框架MagicPairing被披露10个0day漏洞
联发科被在野利用的 RootKit 漏洞分析(CVE-2020-0069)
破门而入:智能门禁系统安全
六月
思科在工业路由器,交换机中塞满了安全漏洞
LG曝安全漏洞,影响过去7年的LG安卓智能手机
Ripple20漏洞曝光:19个0 day漏洞影响数十亿IoT设备
Netgear 数十款路由器曝出严重漏洞,影响79种不同型号设备
思科报告称:智能汽车易受黑客攻击 通过漏洞可实现“远程控制”
Linux 再次严辞拒绝 Intel CPU 漏洞补丁
NVIDIA显卡驱动曝出多安全漏洞,部分Windows和Linux设备受到影响
D-Link路由器曝多个安全漏洞
LoRaWAN协议栈首曝通用安全漏洞,数亿物联网设备倍感“威胁”
交通信号灯曝严重漏洞,可人为操控引发交通瘫痪
七月
联发科芯片Rootkit漏洞分析(CVE-2020-0069)
BootHole漏洞影响数十亿Windows和Linux设备
八月
三菱电机旗下工厂自动化产品被曝3个严重漏洞
亚马逊 Alexa 现漏洞:可能会曝光用户个人信息及语音历史
Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络
攻击者正在利用思科企业级路由器中的两个零时差漏洞
自动柜员机制造商修复了允许非法取款的缺陷
九月
苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码
D-Link摄像头在野0-Day漏洞分析报告
可 3 秒入侵 Windows 服务器:微软敦促客户尽快修复 Zerologon 漏洞
十月
谷歌在Linux内核发现蓝牙漏洞 攻击者可任意访问敏感信息
十一月
群晖 SRM 组件存在多个安全漏洞
工业控制系统存在可导致远程代码攻击的严重漏洞
微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞
打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接
十二月
全球超过 100 万物联网设备受影响 安全专家发现 33 个漏洞
D-Link路由器容易受到可远程利用的根命令注入漏洞的攻击
日本川崎重工披露安全漏洞
Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备
CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备
谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞
黑客可利用漏洞攻击 D-Link VPN 路由器
iPhone里的照片、私人信息一览无余!谷歌近日曝光了一个iOS严重Wi-Fi漏洞
多款 Schneider Electric 产品代码问题漏洞
AMNESIA:33:33个Bug驻留在四个开源TCP/IP堆栈中
以上报告由青莲云物联网安全研究院收集整理,如果您的企业有任何物联网安全问题或物联网安全建设需求,欢迎与青莲云取得联系,我们将第一时间为您提供详细的安全咨询服务。点击阅读原文获取报告文件。
原文标题:【会员动态】青莲云发布2020年国内外典型物联网安全漏洞盘点
文章出处:【微信公众号:广东省物联网协会】欢迎添加关注!文章转载请注明出处。
责任编辑:haq
全部0条评论
快来发表一下你的评论吧 !