某国外工控物联网设备存未授权访问漏洞 基础设施安全需引以为戒
IPv6即将来临,更多的物联网设备将拥有独立的IP地址,由它们开启的全球互联时代也将正式来临,然而在时代演变方便人们生活的同时,这也将带来全新的安全挑战,必须要有足够的风险防范意识,并为之建立相应强度的足够的防御手段。
近日,知道创宇 404 实验室在一项安全研究中发现,国外某工控物联网设备制造商投向市场使用的某款设备大范围的暴露在了公网之上,并且疏忽大意的并未对访问进行足够严密的授权。
据了解,这家设备制造商位于西班牙,其主要提供停车场效率解决方案和电动汽车智能充电方案。其主打的产品与服务包括 iPark, LedPark, EVPark, WallBox Series, Post Series, Dc Chargers Series, Dynamic Load Management。
(上图为固件升级页面)
知道创宇 404 实验室安全研究员研究发现,不知出于何种原因,该设备制造商目前一定量级的电动汽车智能充电系统被公然暴露于外网之上,且存在未授权访问漏洞。这也将导致如存在攻击者,不仅可获取敏感信息,甚至可以执行固件升级等操作。
只要有一点技术常识的朋友都应该清楚这将带来什么样的安全后果,类似后果可自行脑补育碧“看门狗”游戏当中的各种黑客过载破坏画面。
(上图为ZoomEye公网搜索结果)
404 实验室安全研究员利用 ZoomEye网络空间搜索引擎探测发现,该型号设备目前全球可探测共有 557 台设备 可能会受该漏洞影响。虽然这并不算是个很大的量级,但因为其作为基础设施暴露出如此低级漏洞,仍然值得人们警觉。
出于某此深层原因,安全团队并未深入研究其背后的安全后果,但从该事件可以看出,无论出于何种原因,这些生产基础设施的厂商都应该花费更大的精力来解决安全性方面的问题,避免由此带来严重的安全风险,因为这种风险很容易上升至国家等级。
还有一点就是实际运营单位暴露出的问题,他们有责任也有义务需要对安全性方面进行全方面的考虑和评估,相应的安全检查措施一定要严格遵循,显然在该事件当中涉事单位也难辞其咎。
该事件也对我国的基础设施安全也有着引以为戒的警示作用,知道创宇作为北京市基础设施检查支持单位曾参与过十九大保障前期的基础设施安全检查工作,期间也发现过我国基础设施存在的若干安全隐患,这也是一种现状问题,从生产厂商及运营单位的安全能力来看完全杜绝安全风险还不太现实,第三方安全服务的必要性也在此得到凸显。