新的研究发现,数百万安全摄像头和其他消费类电子产品中的P2P(peer-to-peer)通信技术存在着几个关键的安全漏洞,使设备暴露在遭受窃听,凭证窃取和远程攻击的威胁之中。
安全漏洞涉及由中国深圳云尼科技开发的软件——iLnkP2P。 iLnkP2p捆绑了数百万物联网(IoT)设备,包括安全摄像头和网络摄像头,婴儿监视器,智能门铃和数字视频录像机。
iLnkP2P旨在让这些设备的用户无需修改防火墙,就能够从世界上任何地方快速轻松地远程访问物联网设备:用户只需下载移动应用程序,扫描条形码或输入印在设备底部的六位数ID,P2P软件处理其余步骤,使得用户可以轻松访问。
但根据安全研究员Paul Marrapese与KrebsOnSecurity分享的深入分析,iLnkP2P设备提供无身份验证或加密的访问路径,使得潜在的攻击者可以绕过任何防火墙限制,轻松建立与这些设备的直接连接。
Marrapese说,他建立的概念验证脚本确定了全球超过200万个易受攻击的设备(见上图)。他发现39%的易受攻击的物联网设备都在中国;另外19%位于欧洲; 7%在美国。
虽然几乎不可能列举出超过一百万个只有六位数ID的设备,但Marrapese指出,每个设备ID都以唯一的、标识哪个制造商生产了该设备字母前缀开头,而且现在市面上有数十家企业在iLnkP2P软件的白名单上。
例如,HiChip是一家中国的物联网供应商,根据Marrapese的说法,该厂家生产的物联网设备占据了易受攻击设备的半壁江山,该厂商使用FFFF,GGGG,HHHH,IIII,MMMM,ZZZZ作为前缀。
Marrapese表示,从理论上讲,这使他们能够仅为这些前缀支持近600万台设备,实际上,在2019年3月,在线设备的数量约为1,517,260台。通过列举所有其他供应商的前缀,在线设备数量接近200万台。
Marrapese表示,他还构建了一个概念验证攻击,可以通过滥用内置的“心跳”功能来窃取设备中的密码。 在连接到网络后,iLnkP2P设备将定期向其预配置的P2P服务器发送心跳或“我在这里”的消息,并等待进一步的指示。
Marrapese继续讲到,P2P服务器会将连接请求指向最近收到的心跳消息的来源,只需知道有效的设备UID,攻击者就有可能发出欺诈性的心跳消息,这些消息将取代真正的设备发出的任何消息。 连接后,大多数客户端将立即尝试以纯文本形式作为管理用户进行身份验证,从而允许攻击者获取设备的凭据。
更糟糕的是,即使攻击者不想打扰拦截设备密码,其中很多人也会使用出厂默认密码在出厂默认状态下运行。 物联网恶意软件Mirai利用这一点,迅速传播到数百万台设备。
更重要的是,正如我们在Mirai看到的那样,这些物联网设备中内置的固件和软件通常基于多年前的计算机代码并充满安全漏洞,这意味着任何能够与他们直接通信的人也可能能够 使用恶意软件远程破坏它们。
Marrapese表示,尽管有人试图通知中国的CERT,超过四个月的时间,iLnk以及其他生产这些设备的六家主要供应商都对此毫不理会。 包括HiChip和iLnk都没有回应KrebsOnSecurity发出的评论请求。
有趣的是iLnk的网站(p1.i-lnk [.] com)目前似乎无法正常运行,对其HTML源代码检查发现,该网站目前受到模糊脚本的攻击,浏览者浏览网页容易跳转到中文游戏网站上。
尽管这些漏洞普遍存在影响,但Marrapese的研究表明,供应商并不打算采取补救措施。
“由于几个原因,这些漏洞的性质使它们极难修复,”Marrapese写道。 “由于在制造过程中永久分配的设备UID不可能,因此不太可能进行基于软件的修复。 此外,即使发布了软件补丁,大多数用户更新其设备固件的可能性也很低。 由于相当大的后勤挑战,物理设备召回也不太可能。 深圳云尼科技是一家上游供应商,由于采用了白标和转售的方式,因此不可估量的有多少子供应商。”
Marrapese表示,没有切实可行的方法来关闭受影响设备上的P2P功能。许多物联网设备可以使用内置于基于硬件的路由器(称为通用即插即用(UPnP))中的功能在防火墙中打孔。但是简单地关闭一个路由器上的UPnP并不会阻止设备建立P2P连接,因为它们依赖于称为“UDP打孔”的不同通信技术。
Marrapese说,通过设置阻止发往UDP端口32100的流量的防火墙规则,应该可以阻止易受攻击的设备与任何P2P服务器进行通信。
然而,一个更安全的想法是简单地避免购买或使用宣传任何P2P功能的物联网设备。之前的研究发现了其他物联网系统内置的P2P功能中的类似漏洞。
Marrapese在这里更详细地记录了他的发现。 枚举漏洞已分配给CVE-2019-11219,并且中间人漏洞已分配给CVE-2019-11220。
原文链接:
https://krebsonsecurity.com/2019/04/p2p-weakness-exposes-millions-of-iot-devices/
本文链接:https://www.yunweipai.com/28439.html
网友评论comments