黑客利用固件漏洞的八種方式
責編:gltian |2019-09-04 15:54:17新物聯網產品源源不斷涌向市場,但速度不應成為忽視安全的借口。
今年的拉斯維加斯黑帽大會上,微軟披露稱,俄羅斯惡意黑客組織利用常見物聯網設備對企業網絡執行大規模攻擊。消息一出,四野具驚。
微軟宣稱 ,黑客通過入侵多種聯網設備獲得企業網絡訪問權限,被利用的設備包括 VoIP 電話、WiFi 辦公打印機、視頻解碼器等。該黑客組織名為 “鍶” (Strontium),也被其他安全公司命名為奇幻熊 (Fancy Bear) 或 APT28,據稱與俄羅斯軍事情報機構格魯烏 (GRU) 有關。
Gartner 預計,到 2020 年,家用和商用物聯網設備數量將超 140 億臺。考慮到微軟近期曝出的物聯網攻擊新聞,現在是時候審視固件安全風險了,畢竟固件正是提供物聯網設備硬件底層控制的那類特殊軟件。作為公認的急迫網絡安全問題,固件堪稱不設防攻擊界面,常被黑客用于在網絡中建立立足點。未受保護的物聯網設備基本相當于一扇未上鎖的大門,意味著攻擊者一旦拿下該物聯網設備,就可以在整個公司網絡中橫行無忌。
黑客主動利用物聯網安全漏洞并非為了攻擊設備本身,而是將其作為各種惡意行為的跳板,為后續展開分布式拒絕服務 (DDoS) 攻擊、惡意軟件分發、垃圾郵件和網絡釣魚郵件投放、點擊欺詐、信用卡盜竊等攻擊活動鋪路。所以,在設備入侵尚未導致收益損失、訴訟、公司聲譽傷害等惡劣情況之前,有必要關注下列八種常見固件漏洞,確保自家網絡大門不向無關人士敞開。
1. 未經身份驗證的訪問
最常見的固件漏洞之一,可使攻擊者獲取物聯網設備訪問權,便于攻擊者利用設備數據及其提供的任何控制功能。
2. 弱身份驗證
如果固件身份驗證機制薄弱,黑客便容易獲得設備訪問權。弱身份驗證機制形式多樣,例如基于密碼的單因子身份驗證、基于弱密碼算法的系統等。此類驗證機制容易被暴力破解攻擊攻克。
3. 隱藏后門
說到固件,隱藏后門當屬黑客最喜愛的漏洞利用方式了。后門即有意植入嵌入式設備中的漏洞,任何人只要持有 “秘密” 身份驗證信息就能遠程訪問設備。盡管后門可能有利于客戶支持,但一旦被惡意黑客發現,所造成的后果也是相當嚴重的。而黑客正是非常善于發現后門的那一類人。
4. 密碼散列值
大多數固件含有用戶無法修改的硬編碼密碼,或者用戶極少修改的默認密碼。這兩種情況均造成設備相對容易遭到黑客利用。2016 年,感染了全球超過 250 萬臺物聯網設備的 Mirai 僵尸網絡,正是利用了物聯網設備默認密碼執行 DDoS 攻擊,令 Netflix、亞馬遜和《紐約時報》等媒體大面積掉線。
5. 加密密鑰
當以容易被黑的形式存儲,比如 1970 年代開始引入的各版本數據加密標準 (DES),加密密鑰可對互聯網安全造成極大威脅。但即使被證明不足以保護秘密,DES 依然沿用至今。黑客可利用加密密鑰竊聽通信、獲得設備訪問權,甚至創建流氓設備執行惡意操作。
6. 緩沖區溢出
編碼固件的時候,如果程序員使用不安全的字符串處理函數,就很容易引發問題,導致緩沖區溢出。攻擊者花費大量時間查看設備軟件中的代碼,試圖找出引發不規則應用行為或造成應用崩潰的方法,打通入侵的道路。緩沖區溢出可供黑客遠程訪問設備,也可被武器化以供進行拒絕服務和代碼注入攻擊。
7. 開源代碼
開源平臺和開源代碼庫驅動了復雜物聯網產品的快速發展。然而,由于物聯網設備常使用第三方開源組件,而這些組件通常采用了未知或未記錄源,固件也就往往淪為了未受保護的攻擊界面,無法抵御黑客攻擊。將開源平臺更新至最新版本就可輕易解決該問題,但很多設備仍在包含已知漏洞的情況下就發布了。
8. 調試服務
物聯網設備測試版中的調試信息,可使設備開發人員知悉設備內部系統相關情況。但不幸的是,調試系統常被放到了生產設備中,讓黑客也獲悉了同一份設備內部信息。
公司往市場中快速投放新物聯網產品,企業也隨之盡快從物聯網部署中獲得諸多好處,但速度優先未必要以犧牲安全為代價。
值得欣喜的是,上述常見物聯網漏洞利用是可以避免的,且緩解方式無需制造商投入額外開銷。物聯網安全最佳實踐可以從以下幾條開始:
1. 升級物聯網設備固件,修改默認密碼。
2. 盤點自身網絡上的物聯網設備,做到對自己的風險暴露面有全面的了解。
3. 聯系所部屬物聯網設備的制造商,詢問他們是否為上述常見漏洞負責。如果不負責,要求他們在其固件和物聯網設備中實現安全編碼操作。
Gartner 物聯網設備技術與趨勢報告: