概述
随着科技发展,形形色色的智能家居产品、路由器、摄像头等产品逐渐走进千家万户。但是这些IoT设备背后的网络安全问题往往被人忽视,导致近年出现了越来越多的安全事件。
在下文中,大家可以看到,美国联邦贸易委员会等监管部门已经开始对IoT设备安全保障能力不足的问题出手。通过D-link、Axis的安全事件,可以看到360安全研究院的研究团队使用FirmwareTotal(IoT固件自动化安全分析解决方案),在IoT设备固件中发现的几个典型安全问题。最后,还会列举利用FirmwareTotal在对大规模固件数据进行分析后,发现的广泛存在于的各类IoT设备中的安全问题。
背景
物联网设备头部厂商之一的D-link,由于生产的产品(如路由器、摄像头等)安全事件频发,被美国联邦贸易委员会(FTC)起诉其产品安全性不足导致消费者的得不到足够的安全保障。而D-link也已宣布进行10年的安全审计以解决FTC的诉讼问题,同时增强必要的安全措施以保护用户数据。
下图是关于D-link漏洞问题的统计,可以看到D-link设备在过去十数年间问题不断。
在过去一段时间里,360安全研究院的安全研究团队一直对市场上主流IoT产品的安全性保持关注,并基于大规模固件数据进行安全研究,范围涵盖摄像头、路由器、无人机、智能家居、工控设备等。根据我们以往在IoT领域的经验,大多数联网的嵌入式设备的安全性都较低。
我们发现,来自Axis的摄像头设备,在过去的几年里曾被曝出过多起安全事件,这些受影响设备被广泛应用于关键基础设施如水电站、原油储备基地等,也被应用于学校、商业会议中心、机场等领域。这引起了我们对它安全问题的关注。
Axis安全事件中的IoT安全问题
Axis 的多款设备曾在过去被披露存在ACE-、ACV-等安全漏洞。
另外我们也关注厂商修复固件前后,更新了固件中的哪些文件,以下是分析的结果。
经过对大规模固件数据的安全分析,我们发现IoT厂商的多代产品经常会共享同一个代码库或配置文件,这往往会导致多代产品出现类似漏洞。
Axis厂商的产品也是如此,并且会进一步导致了漏洞感染,在后面我们会展示对漏洞影响面的评估分析:
如果对Axis的同系列产品进行整体比较,可以发现Q6035与Q6034的固件存在高达90%的相似。 另外我们也关注到,即使是不同的厂商,也会采用相似的软件供应链,导致不同厂商的固件存在部分重合,有的重合度甚至可以达到70%以上。
这便会导致当一个漏洞被曝出时,影响范围非常广泛,可能涉及多个不同的厂商、以及多个不同的产品线。此时,具体波及范围往往无法准确得知,可能导致部分厂商或部分型号被忽略,只有部分受影响设备固件能够被及时发现并发布修复版本。而这可能带来巨大的潜在风险。
因此,我们一直致力于积累大量的固件安全数据,以确保当安全事件发生的时候,能够快速得到更为全面准确的漏洞影响范围。以下就是我们对该漏洞的影响范围评估结果:
在这个例子中,我们注意到,IoT厂商还会在不同领域的固件,如工控、商业与学校等场景的设备,使用相似的代码库,甚至使用相同的固件。这可能会导致一个家用IoT设备的漏洞,会波及到关键基础设施、石油化工、航空领域等。
除了研究安全问题在IoT设备中更全面的影响范围,我们还可以利用我们在网络空间中的资产探测能力,评估漏洞在网络空间资产中的影响范围。
通过网络空间的IoT资产状态感知,我们能够在第一时间掌握到全面的漏洞设备在线分布情况,以及受影响的国家和地区等。这为我们准确评估安全事件的影响程度提供了有力的数据支撑,也让我们能够为客户提供快速的应急响应和准确的安全建议。以下是对缺陷设备之一的Q6035-E的网络资产探测结果:
下面将更为完整地介绍,IoT安全领域中通常会存在哪些安全问题。其中有些问题,不只在智能家居等设备中出现,在应用于关键基础设施的工控设备中也同样屡见不鲜。背后的原因正是我们通过大规模固件数据分析发现的:"智能家居与工控设备都使用了相似的软件供应链,及通用web开发技术而导致相似的软件和脚本安全问题"。
广泛存在于各类设备的安全问题
安全问题:设备web代码漏洞
不管是智能家居设备还是应用于关键基础设施的工控设备,为了方便用户操作,都会基于通用web技术如PHP、Javascript等开发web应用,这就导致了潜在的web漏洞风险。
安全问题:软件供应链漏洞
固件中来自软件供应链的安全问题也不容忽视,例如由于使用的开源基础软件包更新不及时,或者在多个设备产品线中使用相似的软件供应链,都会导致潜在的安全风险。
安全问题:证书与秘钥泄露
证书与秘钥泄露的问题在IoT固件与工控设备固件中也广泛存在。
安全问题:开放服务攻击面
在对固件静态扫描的同时,我们也会尝试对固件进行模拟以获取更多的动态安全信息。这常常让我们有意外的发现。例如有不少的设备会开启ssh、ftp、telnet服务等,并使用弱口令或者已被公开的默认账号,这会导致极大的安全风险。这种情况并不只是在智能家居产品中出现,应用于关键基础设施的工控设备同样存在类似的问题。
此外我们也会通过内部的netstat输出来获取更多的运行时信息。
通过这些信息常常可以获取到如udp端口服务等信息,并且往往是设备厂商自己开发的特定服务,而这类服务程序也是被发现问题最多的地方之一。
安全问题:不安全配置
设备内的不安全配置也是我们重点关注之一,例如ssh配置允许root远程登录等。这将会为恶意攻击者扫描探测和进行爆破攻击提供极大的便利,并容易成为僵尸网络的攻击目标。
安全问题可能导致的后果
前面提到的安全问题可能会增加远程攻击者成功利用设备或嗅探敏感数据的几率。攻击成功后,攻击者可以:
• 获得对设备的完全控制权
• 访问用户的浏览历史记录和传输的数据,导致隐私泄露
• 安装恶意软件以将设备添加到僵尸网络,这可能允许攻击者执行其他恶意任务,如DDoS攻击和挖矿(加密货币)等
• 将缺陷设备用作重要基础设施的渗透起点
• 网络钓鱼攻击,攻击者可能会获取敏感信息,如用户名,密码和信用卡详细信息,导致用户财产损失
