江苏龙网

  1. 首页 > 人文 > >

互联网新的物联网基础模块漏洞可能使全球天量设备面临安全风险


社会对技术的依赖程度非常高 , 预计到2025年 , 全球使用的互联网连接设备数量将增长到559亿台 。 这些设备中的许多设备涵盖了工业控制系统(ICS)的各个部分 , 它们影响着世界 , 协助我们在家中的日常生活 , 并监控和自动化生产工作中从能源使用到机器维护的一切 。滥用这些系统的潜力已经引起了网络犯罪分子的注意根据2020年IBM X-Force威胁情报指数 , 自2018年以来 , 针对这些系统的攻击增加了2000%以上 。
互联网新的物联网基础模块漏洞可能使全球天量设备面临安全风险
本文插图
作为持续研究的一部分 , IBM的黑客团队X-Force Red发现了一个新的物联网漏洞 , 可以被远程利用 。 制造商泰雷兹自2020年2月起向客户提供了CVE-2020-15858的补丁 , X-Force Red一直在合作 , 以确保用户了解该补丁 , 并采取措施保护他们的系统 。
在今天使用的数十亿智能设备中 , 泰雷兹是使它们能够连接到互联网、安全存储信息和验证身份的组件的供应商之一 。 泰雷兹的整个产品组合每年连接超过30亿个设备 , 从智能能源表到医疗监控设备和汽车 , 有超过3万家机构依赖其解决方案 。
然而 , 在2019年9月 , X-Force Red发现了泰雷兹(原金雅拓)的Cinterion EHS8 M2M模块中的一个漏洞 , 该模块在过去十年中被用于数百万个互联网连接设备 。 经过进一步的测试 , 泰雷兹确认该漏洞会影响到EHS8同一产品线中的其他模块(BGS5、EHS5/6/8、PDS5/6/8、ELS61、ELS81、PLS62) , 进一步扩大了该漏洞的潜在影响 。 这些模块是实现物联网设备移动通信的微型电路板 。
更重要的是 , 它们存储和运行的Java代码通常包含密码、加密密钥和证书等机密信息 。 利用从模块中窃取的信息 , 恶意行为者有可能控制设备或获得中央控制网络的访问权 , 从而进行广泛的攻击--在某些情况下甚至可以通过3G远程攻击 。 利用这个漏洞 , 攻击者有可能指示智能电表打掉一个城市的电力 , 甚至给医疗病人注射过量的药物 , 只要负责这些关键功能的设备使用的是一个暴露在攻击者面前的未打补丁的模块 , 例如 , 通过这个模块启用的3G/4G连接 。
关于该漏洞
EHS8模块及其系列中的其他模块 , 旨在通过3G/4G网络实现连接设备之间的安全通信 。 将该模块视为相当于一个值得信赖的数字锁箱 , 公司可以在其中安全地存储密码、凭证和操作代码等一系列秘密 。 这个漏洞破坏了这一功能 , 允许攻击者窃取组织机密 。
X-Force Red发现了一种绕过安全检查的方法 , 这种检查可以使文件或操作代码对未经授权的用户隐藏起来 。 这个漏洞可能使攻击者能够入侵数百万台设备 , 并通过转入提供商的后端网络来访问支持这些设备的网络或V PN 。 反过来 , 知识产权(IP)、凭证、密码、加密密钥都可能被攻击者轻易获得 。 换句话说 , 模块存储的机密信息可能不再是机密 。 攻击者甚至可以抢夺应用程序代码 , 彻底改变逻辑 , 操纵设备 。
潜在的影响是什么?
这个漏洞的潜在影响根据攻击者可能入侵使用这一行模块的哪些设备而有所不同 。 据了解 , 全球有数百万台设备使用该模块 , 横跨汽车、医疗、能源和电信行业 。
鉴于其中许多设备的关键性 , 有针对性的网络攻击可能会很重要 。 以下是一些例子 , 说明如果在各种类型的设备中暴露出未打补丁的模块 , 攻击者可能会做什么 。
医疗设备: 操纵监测设备的读数来掩盖生命体征或制造虚假恐慌 在根据输入提供治疗的设备中 , 如胰岛素泵 , 网络犯罪分子可能会使患者用药过量或不足 。
能源和公用事业 。 篡改智能电表 , 提供伪造的读数 , 增加或减少每月的账单 。 通过控制网络访问一大群这些设备 , 恶意行为者还可以关闭整个城市的电表 , 造成大范围的停电 , 需要进行单独维修 , 甚至更糟糕的是 , 破坏电网本身 。


推荐阅读


上一篇:心理测试,没有了你的日子,他爱你爱得非常的深

下一篇:对你宣说|曾经被千万人表白我等你长大,看清如今27的模样后,网友:告辞了