如果能從連網裝置上發現的大規模攻擊中學到什麼,那就是物聯網(IoT ,Internet of Thing)充滿了弱點。我們多次看到殭屍網路(botnet)是如何因系統弱點而崛起,並且利用糟糕的基本安全性來破壞許多裝置及服務。
過去一年來,趨勢科技開始仔細研究全球物聯網裝置的安全性。我們選擇了在 Amazon 各區域可取得,並在日本市場廣泛使用的裝置,探究遠端執行代碼 (RCE) 是否可行。我們最終發現的,不僅只有如此。
在發現錯誤、報告問題並等待製造商回應的數個月後,我們發現了不同裝置製造商的弱點。其中一些弱點易於利用,而其他弱點風險較小。然而,結果是攻擊者終究能夠取得受影響裝置的未授權遠端控制權,可能造成裝置完全無法運作,甚至損壞。
| 製造商 | 型號 | 裝置類型 | 弱點 | RCE | 狀態 |
| Belkin | NetCam HD+ WiFi Camera | IP 攝影機 | SSRF + LCE | 是 | 已修補 |
| Belkin | WeMo® LED Lighting Starter Set | 智慧燈泡 | 未授權的 SYSEVENT 服務 | 是 | 已修補 |
| Belkin | WeMo® | 多種裝置 | 阻斷服務 (DoS) | 否 | 已修補 |
| Buffalo | WSR-300HP | 路由器 | 命令注入 (Command Injection) | 是 | 已修補 |
| D-Link | DCS825L 媽咪愛高畫質寶寶用無線網路攝影機 | 嬰兒監視器 | 命令注入 (Command Injection) | 是 | 已修補 |
| D-Link | DCS825L 媽咪愛高畫質寶寶用無線網路攝影機 | 嬰兒監視器 | 堆疊溢位 (Stack Overflow) | 是 | 已修補 |
| 大華 | IP 攝影機及 PTZ 攝影機 | IP 攝影機 | 容易猜測的回復出廠設定密碼 | 否 | 已修補 |
表 1:發現存在弱點的物聯網裝置
注意:我們已經聯絡受影響的製造商,而尚未收到 Buffalo 的回應。WeMo 的阻斷服務弱點影響所有 WeMo 裝置。D-Link 表示可提供測試版韌體,撥打 1-877-453-5465 聯絡其美國地區的技術支援。大華的弱點也影響到其 OEM 產品,雖然該弱點無法直接進行 RCE 攻擊,但可以利用 Telnet 來達成。
我們在 Buffalo 發現了一個存在三年的弱點,與 2016 年發生在 TR-69 SOAP RCE 攻擊中的弱點相似,攻擊者可能輕易利用此弱點,建立殭屍網路。我們也在 Belkin 裝置中發現安全漏洞。例如,Belkin WeMo® 裝置可能因一個 POST HTTP 請求造成關鍵服務的堆疊溢位而停止運作並難以恢復。
D-Link 在其裝置上具有內建服務,可提供多種功能。我們發現一種攻擊可以利用這項服務,以特製 UDP 封包產生額外的堆疊溢位點,並造成 RCE,取得 root 權限。大華的產品擁有密碼回復機制,在使用者忘記登入憑證時可提供協助。我們發現攻擊者可以利用此功能來接管正當使用者的裝置。
至少在後兩種情況下,這些裝置提供的同等便利性,似乎也阻礙了應有的安全保護措施。
缺乏適當的安全性會帶來困境,因為任何經驗豐富或積極主動的攻擊者,都可以挖掘更多弱點並利用該生態系統,例如知名的 Mirai 及 Satori 殭屍網路活動。
在研究過程中,我們遵循各機構的弱點揭露政策,向 Zero Day Initiative (ZDI) 及日本情報處理推進機構 (IPA) 揭露了發現的弱點。
有關所發現物聯網弱點的技術細節及其他資訊,請詳見本技術簡介。
針對物聯網弱點的建議及解決方案
與物聯網有關的安全問題,不僅只有使用者應該關注。製造商應該承擔最大或部分責任,確保他們推出的裝置安全並且持續更新。他們應確保其物聯網實作的裝置完整性、機密性、身分識別及運作連續性。製造商應抱持的思維,是只要裝置連線到網際網路,就有遭到濫用的可能。
在裝置的完整生命週期進行規劃非常重要;如此一來,才能在產品服務壽命內提供系統保護,防止可能發生的駭客攻擊與入侵。早在設計階段,就應優先考慮進行滲透測試及定期風險評估。像產生回復密碼及預設出廠設定這樣的機制,雖然是方便使用者存取的設計,但不應造成使用者的資安問題。
| Boot up
Device is loading up the firmware and starts to work as defined. |
開機
裝置載入韌體,並開始按照定義運作。 |
| Initialization
Boot up completed; system will read configuration, establish connection or sync up data. |
初始化
開機完成;系統將讀取配置,建立連線或同步資料。 |
| Operation
Device performs its designed purpose continually. |
運作
裝置持續按其設計目的執行。 |
| Update
New firmware arrives; device reboots and then start to load new firmware. |
更新
獲得新韌體;裝置重新啟動,然後開始載入新韌體。 |
| Next cycle | 下一個週期 |
| First cycle | 第一個週期 |
| Second cycle | 第二個週期 |
| N cycle | 第 N 個週期 |
| Last cycle | 最後一個週期 |
| Termination | 終止 |
圖 1:物聯網裝置的生命週期
現狀是,並非所有的裝置都具有內建的安全性,並且有部分裝置機制會遭到攻擊者利用。因此,使用者應該採取措施,保障他們設定網路的方式,並定期使用最新的韌體更新裝置,以盡可能降低弱點遭到利用的風險。
除了上述最佳做法之外,使用者還可以考慮採用全面的保護措施,例如趨勢科技PC-cillin雲端版可在端點層級偵測惡意軟體的功能,提供針對物聯網裝置威脅的有效防範措施。此外,連網裝置可以藉由安全軟體如 Trend Micro™ Home Network Security 及趨勢科技智慧型家用網路™(SHN) 解決方案進行保護,該解決方案可以檢查路由器與所有連線裝置之間的網際網路流量。(SHN 的覆蓋範圍與製造商的發佈週期有關。)企業還可以監控所有插孔及網路協定以防範進階威脅,並藉由 趨勢科技 Deep Discovery™ Email Inspector 網路設備防範針對式攻擊。
Trend Micro™ Home Network Security 及趨勢科技 Smart Home Network™ 客戶藉由以下規則,免受特定弱點的侵害:
- 1134520 WEB Belkin NetCam WEMO API Remote Code Execution
- 1134517 EXPLOIT Belkin Syseventd Link Remote Code Execution
- 1134521 WEB Belkin Devices WEMO API Denial of Service
- 1134286 WEB Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361)
- 1134518 WEB D-Link DCS-825L verify.cgi Command Injection -1
- 1134519 WEB D-Link DCS-825L verify.cgi Command Injection -2
- 1134525 EXPLOIT D-Link DCS-825L Buffer Overflow -1
原文出處: Device Vulnerabilities in the Connected Home: Uncovering Remote Code Execution and More