2024物联网连接总数将达到830亿,引发新的安全问题

根据Juniper Research的数据,到2020年,物联网连接的总数将从2020年的350亿增加到830亿。在接下来的4年中,这意味着增长130%,工业部门是这一增长的主要驱动力。

该研究发现,到2024年,包括制造业,零售业和农业在内的工业部门将占所有IoT连接的70%以上。预计具有成本效益的专用蜂窝网络的出现将成为未来一个增长的主要驱动力。随着技术成本在未来2年内下降,预计近期对专用LTE网络的需求增长将延续到5G专用网络。

该研究预测,在未来四年中,服务中的工业物联网单位数量将增长180%。研究合著者Sam Barker指出:“ 随着工业IoT用户采用新技术来扩展其网络上可用的服务,工业网络将需要快速扩展。但是,物联网平台必须确保安全流程可以随着网络的增长而扩展。”

研究指出,私有物联网网络日益复杂,这意味着平台必须实施步骤以在物联网生态系统的所有层(包括设备,连接性和平台本身)中实现安全性。

该研究敦促供应商实施高度可扩展的安全程序,并可以应对网络体系结构日益复杂的情况。它提出了两个重点领域:使用网络分段来减轻横向移动网络安全攻击的风险,并确保正确维护网络资产的生命周期管理。

‎黑客利用智能门禁系统的漏洞发起 DDoS 攻击‎

根据‎SonicWall的最新发现‎‎,智能门禁和楼宇门禁控制系统目前是黑客发动分布式拒绝服务攻击或DDoS攻击的首要目标。‎

‎攻击者主要针对 Nortek 安全与控制 (NSC) 产品,该产品名为‎‎Linear eMerge E3,‎‎主要用于商业环境,如企业大楼、工厂和工业园区,用于监控进出的访客和员工。‎

到目前为止,SonicWall研究人员已经确定了2,300个易受攻击的访问系统。研究人员发现,Linear eMerge E3系统基于Linux,并通过使用嵌入式Web服务器的浏览器进行控制。

对‎‎智能门禁和楼宇门禁控制系统‎‎的攻击最初是由一家网络情报公司‎‎Bad Packets‎‎发现的,攻击是在‎‎2020年1月9日观察到的。自那时以来,攻击次数有所增加,在大约 100 个国家/地区,每天有数万台设备受到攻击。但是,大多数受影响的用户都位于美国。‎

另一方面,网络安全公司Applied Risk的研究人员表示,他们在2019年5月在同一系统中发现了十个严重的安全漏洞。这些漏洞是在eMerge E3系列1.00-06设备中发现的,但他们也发现一些旧版本受到相同漏洞的影响。‎

他们向NSC通报了有关漏洞的信息,但该公司尚未发布修补程序,尽管十个漏洞中有六个是非常严重的漏洞,并且CVSS v3的严重性评分为9.8-10 / 10。

SonicWall研究人员评估认为,黑客目前正在利用十个漏洞之一发起DDoS攻击,该漏洞是索引为CVE-2019-7256的命令注入错误,严重等级为10/10。

此问题是由于PHP函数的用户输入的过滤不当造成的,由于这些原因,未经身份验证的个人能够使用特别设计的HTTP请求运行任意命令。攻击成功后,攻击者可以轻松地用恶意软件感染设备并发起DDoS攻击。

‎Nortek已知晓报告的漏洞,但尚未生成修补程序。建议负责管理与NSC Linear eMerge E3链接的网络的系统管理员必须断开其系统与互联网的连接,或安装防火墙或‎‎VPN‎‎以限制对这些设备的访问。‎

CDPwn漏洞使数百万的思科企业级设备受到攻击

如果您的企业网络中有‎‎思科‎‎设备,您应该立即检查思科专有设备发现协议中新发现的 CDPwn 漏洞,并尽快实施修补程序。‎

由Armis研究人员发现并于去年以负责任的方式向思科披露了五个“ CDPwn”缺陷CVE-2020-3110,CVE-2020-3111,CVE-2020-3118,CVE-2020-3119和CVE-2020-3120,这些缺陷可能被利用来导致拒绝服务或远程执行代码。所有这些缺陷都会影响Cisco发现协议(一种运行在Cisco设备上的第2层协议)。

受影响设备:运行思科 FXOS 软件、思科 IP 摄像机固件、思科 IP 电话固件、思科 NX-OS 软件、Cisco IOS-XR 和 Cisco UCS Fabric的不同型号设备都受到一个或多个漏洞的影响。‎

不受影响设备:运行Cisco IOS和Cisco IOS-XE软件的路由器和交换机,以及Cisco ASA,Cisco Firepower 1000系列和Cisco Firepower 2100系列等防火墙。(尽管CVE-2020-3120影响Firepower 4100系列和Firepower 9300安全设备)。

“众所周知的安全最佳做法是在连接到不受信任网络的所有接口上禁用思科发现协议。每个安全公告都提供了有关如何确定设备中是否启用了思科专用设备发现协议以及如何禁用它的详细信息,”思科发言人指出。

“对于为某些功能而必须运行CDP的那些产品,鼓励客户遵循网络分段的最佳做法,以避免不受信任的设备发送CDP数据包或最终使用可用的软件修补程序升级这些设备。”

不用多说,修复应优先于CDP禁用。

漏洞如何被利用:

‎首先:思科 PSIRT 不知道任何 CDPwn 漏洞的恶意使用。‎
‎此外:这些漏洞不能从 Internet 或从其他广播域/子网进行利用 – 攻击者必须与受影响的设备位于同一广播域或子网中,才能利用这些缺陷。这意味着攻击者必须首先在目标网络中站稳脚跟。‎

CDPwn-exploitation

但是,一旦实现,就可以使用CDP漏洞执行以下操作:

  • 中断网络分段
  • 从IP电话和摄像头等设备中窃取信息,并从中窃听语音和视频数据/呼叫以及视频源
  • 窃取流经公司网络交换机和路由器的敏感公司数据
  • 通过利用MitM攻击来拦截和更改公司交换机上的流量,从而破坏设备通信

“CDP是一种协议,它基于在整个网络中发送的多播以太网数据包。例如,连接到受影响交换机的攻击者只需发送恶意制作的 CDP 数据包,这将触该漏洞并导致远程代码执行。不幸的是,发现的RCE漏洞都很容易被利用,无论是堆栈溢出还是堆溢出,都只采取了最小限度的缓解措施,以防止它们变成功能漏洞,”Armis 研究副总裁 Ben Seri 说。

正如 Armis 指出的,95% 以上的财富 500 强公司使用思科协作解决方案,而大量这些设备最终出现在攻击者认为极其有价值的地方:交易大厅、会议室、CEO 办公室等。

“虽然企业通常会使用网络分段作为将这些设备与网络其他部分隔离的方法,但 CDPwn 可用于突破这些边界,允许未经授权的访问和危害,”他们补充道。

著名防病毒软件Avast收集用户数据并出售给Google,Microsoft

调查称,Mac和Windows版本的Avast防病毒软件收集用户数据,并通过子公司Jumpshot将一些敏感信息出售给第三方,包括Google,Microsoft和Intuit。

Avast提供了多种免费和付费的防病毒和安全工具。这些工具非常流行,每月有超过4.35亿活跃用户在Mac,PC和移动设备上使用该工具,以保护其数据免受伤害。

作为其产品的一部分,Avast的软件提供了选择加入的选项,以允许公司收集某些类型的用户数据,然后通过子公司Jumpshot出售这些数据。 Vice和PC Mag使用泄露的用户数据,合同和其他文件进行的调查揭示了这些销售的范围以及公司销售数据的广度。

调查获得的数据表明,Avast 收集的信息范围很广,包括 Google 搜索、位置查找和 Google 地图中的 GPS 坐标、LinkedIn页面和 YouTube 视频列表。更令人不安的是,记录的匿名色情网站访问记录提供了用户访问网站的日期和时间,以及在某些情况下的搜索词和观看的视频。

尽管努力对数据匿进行了匿名化,但一些专家声称,非常具体的浏览数据可以用来找出身份。

该子公司声称它拥有来自1亿个设备的数据,而调查称Jumpshot将从Avast收集的数据重新打包为许多不同的包。 这还包括一个所谓的“所有点击源”选项,客户支付了数百万美元,以便能够跟踪用户在网站上的行为和活动。

客户名单包括许多主要公司,例如Google,Yelp,Microsoft和Pepsi。

Avast在一份声明中告诉调查者,它已停止向Jumpshot提供收集的浏览数据。

调查进一步从来源和泄露的文档中发现,Avast仍在进行收集,但是是通过防病毒软件本身而不是浏览器插件进行的。 在上周的一份内部文件中显示,Avast已开始要求免费的防病毒工具的用户再次选择加入数据收集。

一份内部手册建议说:“如果他们选择加入,该设备将成为Jumpshot面板的一部分,并且所有基于浏览器的互联网活动都将报告给Jumpshot。” 根据该文档,收集的数据将回答有关用户访问过哪些 URL 以及何时访问以及以何种顺序访问的问题。

该数据对Avast来说是一笔可观的收入。在Jumpshot与客户的合同中,一家营销公司在2019年为这些数据支付了超过200万美元,该数据为来自14个国家/地区的20个域提供了“ Insight Feed”。

该数据包括根据浏览行为推断出的用户性别,用户年龄,删除了个人身份信息的“整个URL字符串”以及其他详细信息。设备ID经过了哈希,以防止客户端识别个人身份,但是由于设备ID不会为用户更改,除非它们完全重新安装了Avast工具,这可能会随着时间的推移在一个用户上积累大量数据,导致可能的识别。

Avast告知调查“由于我们的方法,我们确保Jumpshot不会从使用我们流行的免费防病毒软件的人员那里获得个人身份信息,包括姓名,电子邮件地址或联系方式。”该公司在一份声明中继续重申用户有能力选择不共享数据,并且自2019年7月起已开始“为AV的所有新下载实施明确的选择加入”,而所有现有免费提示用户在2020年2月之前做出选择。

该公司还坚称,Avast遵守《加州消费者隐私法》和欧洲的GDPR。声明强调:”我们在保护用户设备和数据免受恶意软件侵害方面有着悠久的记录,我们理解并认真对待平衡用户隐私与必要使用数据的责任。

美国网件路由器漏洞导致TLS证书私钥被暴露给公众

最近,美国网件公司被发现在其无线路由器的固件中存在漏洞,导致路由器上的TLS证书私钥被暴露给公众。这些私钥可用于拦截和篡改安全连接(中间人攻击),从本质上讲,任何受感染的路由器都可以被劫持。

该报告由Aruba Networks的威胁研究人员Nicholas Starke和Businessolver软件架构主管Tom Pohl共同撰写。据二人称,他们是在寻找该公司固件中的漏洞时偶然发现已签名的TLS证书的私钥公开可用。‎

每台Netgear设备都至少有两个正在运行的签名TLS证书。 这些私钥可用于解密通过该设备的任何流量,因此会使用户面临暴露所有流量的风险。

此外,这些密钥可以从Netgear的支持网站上下载,竟然无需任何身份验证措施即可下载。

受影响的型号包括R8900,R9000,RAX120和XR700无线路由器。 尽管Netgear周一做出了回应,但由于尚未发布任何补丁程序,因此建议用户使用以下2个选项,直到问题解决为止:

  • ‎使用网件的Nighthawk应用程序‎
  • ‎使用 http 版本的routerlogin.com而不是通常的 https

研究人员指出,在1月14日他们发现了这些漏洞时,他们试图通过Twitter与团队取得联系,但无济于事。‎在1月15日,他们来到了Bugcrowd(致力于为客户找出软件漏洞的白帽社区),并试图“在Netgear Bug赏金计划之外建立通信渠道”。但是,仍然失败了,这导致研究人员于1月19日在Github上公开漏洞的所有内容。