一個(gè)名為CVE-2020-15858的Java漏洞早在2019年就被發(fā)現(xiàn)，并從2月開(kāi)始提供修復(fù)程序?，F(xiàn)在，IBMs安全團(tuán)隊(duì)X-Force Red正在敦促制造商更新易受攻擊的EHS8模塊。

物聯(lián)網(wǎng)安全有多重要？

隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的迅速增加，以及與日常生活的日益融合，物聯(lián)網(wǎng)設(shè)備的安全性變得前所未有的重要。由于雙核和四核soc，過(guò)去用來(lái)發(fā)送良性信息的設(shè)備現(xiàn)在能夠流式傳輸視頻和處理人工智能算法，同時(shí)有足夠的處理空間在后臺(tái)運(yùn)行應(yīng)用程序。因此，現(xiàn)代物聯(lián)網(wǎng)設(shè)備可用于各種惡意應(yīng)用，包括DDoS攻擊、加密挖掘、監(jiān)視、網(wǎng)絡(luò)側(cè)鏈攻擊和個(gè)人信息盜竊。

物聯(lián)網(wǎng)設(shè)備在過(guò)去曾遭受過(guò)多次攻擊，設(shè)計(jì)人員和用戶(hù)很容易忽視物聯(lián)網(wǎng)設(shè)備的安全性的一個(gè)典型例子就是，賭場(chǎng)網(wǎng)絡(luò)被黑客入侵，玩家數(shù)據(jù)被盜。

此類(lèi)攻擊表明了安全性的重要性，當(dāng)發(fā)現(xiàn)缺陷時(shí)，制造商和所有者都必須對(duì)其產(chǎn)品進(jìn)行更新，以防受到此類(lèi)攻擊。當(dāng)然，其他安全措施，如不使用常用密碼、默認(rèn)密碼或?qū)⒚舾袛?shù)據(jù)存儲(chǔ)在不受保護(hù)的內(nèi)存區(qū)域，也大大有助于加強(qiáng)系統(tǒng)。

什么是EHS8模塊？

EHS8模塊是一個(gè)集成Java ME 3.2客戶(hù)端運(yùn)行時(shí)的模塊，用于需要蜂窩連接的全球物聯(lián)網(wǎng)應(yīng)用程序。EHS8還集成了GPS、干擾檢測(cè)、高級(jí)溫度管理、嵌入式TCP/IP堆棧和USB控制器，允許創(chuàng)建各種不同的設(shè)計(jì)，包括工業(yè)、商業(yè)和住宅環(huán)境中的設(shè)計(jì)。

2G和3G連接的使用允許下行連接速度高達(dá)7.2Mbps，上行速度達(dá)到5.7Mbps。雖然這些在現(xiàn)代標(biāo)準(zhǔn)看來(lái)可能很低，但物聯(lián)網(wǎng)設(shè)備設(shè)計(jì)為一次發(fā)送數(shù)百字節(jié)，這樣的速度確保了數(shù)據(jù)包在最小延遲下快速發(fā)送和接收。該模塊25.4毫米x 27.6毫米的小尺寸使其成為物聯(lián)網(wǎng)設(shè)備的理想候選者，使用Java運(yùn)行時(shí)可以快速開(kāi)發(fā)應(yīng)用程序，易于維護(hù)，代碼可重用性高。

什么是CVE-2020-15858漏洞？

早在2019年9月，名為X-Force Red的IBMs精英黑客團(tuán)隊(duì)在EHS8 M2M模塊中發(fā)現(xiàn)了一個(gè)漏洞，該模塊目前正被數(shù)百萬(wàn)臺(tái)設(shè)備使用。該漏洞被稱(chēng)為CVE-2020-15858，影響EHS8模塊安全存儲(chǔ)敏感信息的能力，并能夠查看內(nèi)存中未經(jīng)授權(quán)用戶(hù)不允許查看的區(qū)域中的代碼和數(shù)據(jù)。該漏洞的問(wèn)題在于，它允許攻擊者危害設(shè)備，通過(guò)對(duì)核心代碼進(jìn)行逆向工程獲得知識(shí)產(chǎn)權(quán)，獲取密碼和加密密鑰。

該漏洞的根本原因與該模塊如何與AT命令（如ESP32和ESP8266模塊）一起使用有關(guān)。這些命令不使用Java，本質(zhì)上是“低級(jí)”的，由于這些命令可以通過(guò)UART發(fā)送，所以可以訪(fǎng)問(wèn)UART的Java應(yīng)用程序可以繞過(guò)它下面的任何運(yùn)行時(shí)。如果應(yīng)用程序能夠訪(fǎng)問(wèn)AT命令結(jié)構(gòu)，它可以使用包括ATI（獲取制造商詳細(xì)信息）或ATD（撥打號(hào)碼）在內(nèi)的所有命令。

由于EHS8（以及同一生產(chǎn)線(xiàn)的其他產(chǎn)品也受到影響）被廣泛的不同應(yīng)用所使用，包括醫(yī)療和能源，攻擊者能夠影響這些設(shè)備的讀數(shù)，這可能隱藏問(wèn)題事件或產(chǎn)生錯(cuò)誤警報(bào)。同樣的設(shè)備，如果用在智能電表上，可能會(huì)減少用戶(hù)的賬單，或者更糟的是，荒謬地增加賬單。
責(zé)任編輯:tzh