万物安全|物联网安全2024.12月报
关键词:
1.2024年44项网络安全标准立项:物联网安全再进一步
国家标准化管理委员会正式立项44项与网络安全相关的国家标准项目,其中《网络安全技术 物联网感知终端应用安全技术要求》、《网络安全技术 物联网安全参考模型及通用要求》标志着物联网安全标准在与时俱进,物联网安全标准化工作将更进一步。
2.ETSI发布标准《消费类物联网设备网络安全:基线要求》
随着越来越多的家用设备连接到互联网,ETSI(欧洲电信标准化协会)发布了《消费类物联网设备网络安全:基线要求ETSI EN 303 645 V3.1.3 (2024-09 )》,范围涵盖了广泛的消费类物联网设备,有助于显著提升消费类物联网设备的网络安全。
3.中共中央办公厅、国务院办公厅印发《关于推进新型城市基础设施建设打造韧性城市的意见》
《意见》提出实施智能化市政基础设施建设和改造中,严格落实网络和数据安全法律法规和政策标准,强化信息基础设施、传感设备和智慧应用安全管控。加强网络和数据安全监测、通报预警和信息共享,全面提高新型城市基础设施安全风险抵御能力。
1.Forrester将物联网安全列为2024年十大新兴技术之一
将物联网安全描述为“结合物联网设备、应用程序和网络安全来识别、保护、管理、认证和授权物联网设备;保护数据;控制设备访问;并实现安全固件部署”的技术。
1.热门摄像头曝零日漏洞,黑客借此入侵政府部门
据GreyNoise公司安全研究人员披露,PTZOptics PTZ摄像头存在两个零日漏洞,漏洞编号分别是CVE-2024-8956和CVE-2024-8957,利用这两个漏洞可能导致完全接管摄像头,感染机器人,转移到同一网络上连接的其他设备,或中断视频源。目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。
2.物联网云平台OvrC曝一系列漏洞,黑客可远程执行恶意代码
安全公司Claroty发布报告,曝光了一款海外流行的物联网设备云端管理平台OvrC内含的一系列重大漏洞。安全公司声称黑客可以接连利用这些漏洞实现在物联网设备上远程执行恶意代码,而根据CVSS风险评估,部分曝光的漏洞风险评分高达9.2(满分10分)。
1.浙江大华技术股份有限公司Digital Surveillance System存在SQL注入漏洞(CNVD-2024-42251)
2.HP LaserJet MFP M130nw存在命令执行漏洞(CNVD-2024-46559)
1.万物物联网安全研究院
HW行动攻击成果
场景:银行安保网(全省分行及网点)
路径:通过近源攻击手段,私接设备、内网渗透,利用物联网设备的漏洞及弱口令等,针对性击破,进而全面控制。
成果:
(1)某商业银行:成功渗透网点摄像头和录像机,成功入侵监控中心。
(2)某商业银行:成功渗透全省安保网内多个网络设备、Linux Shell和摄像机设备。
(3)某国有银行:成功控制单个网点的所有摄像机和录像机。
经验总结:
物联网设备高速增长的同时,也带来了大量的脆弱性风险,如漏洞、弱口令等。单个网点内的录像机和摄像机常常存在密码一致性,利用漏洞获取其一即可控制整个网点的设备,物联网安全的建设迫在眉睫。
万物安全
围绕战略新一代信息技术产业,聚焦网络安全新质生产力“AI+物联网安全”,“颠覆式创新和硬科技”实力获得工信部“网安中心”和“火炬中心”高度认可并获奖,连续三年被全球权威咨询机构评为“金融视频物联安全”分析报告评为第一、国家保密局百家信创单位之一、中国网络安全产业联盟理事单位、关键信息基础设施安全保障联盟副理事长单位。
内容来源于:万物安全
相关文件:
地址:北京市海淀区地锦路9号院9号楼 电话:010-57328155 邮箱:admin@zisia.org.cn 传真:010-88888888
京公网安备11010802045578号
扫码关注
微信公众号