青莲云发布2020年国内外典型物联网安全漏洞盘点

物联网技术正在加速向各行业渗透，根据中国信通院《物联网白皮书（2020年）》内容显示：预计到2025年，物联网连接数的大部分增长来自产业市场，产业物联网的连接数将占到总体的61.2%。智慧工业、智慧城市 、智慧交通、智慧健康、智慧能源等领域将最有可能成为产业物联网连接数增长最快的领域。

当业界在推动产业物联网高速发展同时，物联网安全问题也给我们敲响了警钟。2020年，国内外挖矿、设备劫持事件频发，智能家居产品不断爆出安全漏洞，漏洞被利用时将造成不可逆的经济损失，同时也反映在物联网产业建设初期，安全作为物联网应用的基础设施的重要性。

青莲云物联网安全研究院整理了2020年国内外物联网安全漏洞，希望设备厂商、项目设计方、实施监理方等能够更加重视物联网安全，在项目初期建设环节引入物联网安全解决方案，尽量减少不必要的安全风险。

青莲云安全点评

物联网安全漏洞已从早期的业务逻辑漏洞延伸到硬件架构、通信协议、操作系统、开源组件等核心基础架构

物联网业务场景的联动融合性增强，设备单点漏洞将成为整体安全防护体系的突破口

超过60%的漏洞存在于物联网设备固件中，开展固件安全检测工作意义重大

超过50%的漏洞没有补丁或者升级修复难度极大

大部分中小型制造商的物联网设备安全问题更为严重

（数据来源：IOTVD青莲云物联网安全漏洞库）

安全漏洞内容

一月

小米米家摄像头被爆安全漏洞：谷歌已紧急禁止集成功能

美国Ruckus无线路由器中发现3个严重漏洞 被黑客远程控制路由器

二月

Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令

CVE-2020-6007：Philips智能灯泡安全漏洞

新的Wi-Fi加密漏洞披露，超十亿台设备受影响

三月

Intel 处理器曝新漏洞 打补丁性能骤降 77％

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

17 年历史的 RCE 漏洞已影响数个 Linux 系统

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

Mukashi：新Mirai变种攻击Zyxel NAS设备

Unit42Threat安全团队发布的《2020年物联网威胁报告》，多达83%的联网医疗成像设备（如乳房X光造影机、MRI核磁共振成像机等等）存在安全隐患。

四月

CVE-2020-10882: TP-Link 命令注入漏洞通告

D-Link DSL-2640B设备多个最新漏洞利用分析

利用Safari浏览器的7个0-day漏洞利用链劫持相机

TP-Link Archer A7命令注入漏洞分析

福特、大众被曝网络安全漏洞，黑客可窃取隐私、操控车辆

五月

苹果蓝牙保护框架MagicPairing被披露10个0day漏洞

联发科被在野利用的 RootKit 漏洞分析（CVE-2020-0069）

破门而入：智能门禁系统安全

六月

思科在工业路由器，交换机中塞满了安全漏洞

LG曝安全漏洞，影响过去7年的LG安卓智能手机

Ripple20漏洞曝光：19个0 day漏洞影响数十亿IoT设备

Netgear 数十款路由器曝出严重漏洞，影响79种不同型号设备

思科报告称：智能汽车易受黑客攻击 通过漏洞可实现“远程控制”

Linux 再次严辞拒绝 Intel CPU 漏洞补丁

NVIDIA显卡驱动曝出多安全漏洞，部分Windows和Linux设备受到影响

D-Link路由器曝多个安全漏洞

LoRaWAN协议栈首曝通用安全漏洞，数亿物联网设备倍感“威胁”

交通信号灯曝严重漏洞，可人为操控引发交通瘫痪

七月

联发科芯片Rootkit漏洞分析（CVE-2020-0069）

BootHole漏洞影响数十亿Windows和Linux设备

八月

三菱电机旗下工厂自动化产品被曝3个严重漏洞

亚马逊 Alexa 现漏洞：可能会曝光用户个人信息及语音历史

Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络

攻击者正在利用思科企业级路由器中的两个零时差漏洞

自动柜员机制造商修复了允许非法取款的缺陷

九月

苹果高危漏洞允许攻击者在iPhone、iPad、iPod上执行任意代码

D-Link摄像头在野0-Day漏洞分析报告

可 3 秒入侵 Windows 服务器：微软敦促客户尽快修复 Zerologon 漏洞

十月

谷歌在Linux内核发现蓝牙漏洞 攻击者可任意访问敏感信息

十一月

群晖 SRM 组件存在多个安全漏洞

工业控制系统存在可导致远程代码攻击的严重漏洞

微软安全公告一年半后 仍有 245000 台设备尚未修复 BlueKeep 高危漏洞

打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接

十二月

全球超过 100 万物联网设备受影响 安全专家发现 33 个漏洞

D-Link路由器容易受到可远程利用的根命令注入漏洞的攻击

日本川崎重工披露安全漏洞

Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备

CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备

谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞

黑客可利用漏洞攻击 D-Link VPN 路由器

iPhone里的照片、私人信息一览无余！谷歌近日曝光了一个iOS严重Wi-Fi漏洞

多款 Schneider Electric 产品代码问题漏洞

AMNESIA:33：33个Bug驻留在四个开源TCP/IP堆栈中

以上报告由青莲云物联网安全研究院收集整理，如果您的企业有任何物联网安全问题或物联网安全建设需求，欢迎与青莲云取得联系，我们将第一时间为您提供详细的安全咨询服务。点击阅读原文获取报告文件。

原文标题：【会员动态】青莲云发布2020年国内外典型物联网安全漏洞盘点

文章出处：【微信公众号：广东省物联网协会】欢迎添加关注！文章转载请注明出处。

责任编辑：haq