check point的威胁情报部门check point research今日披露智能照明的漏洞,黑客可利用此漏洞接管智慧灯泡及其桥接器,进而将勒索软件或其他恶意软件传播到企业和家庭网络。
check point研究人员展示了攻击者如何通过智慧灯泡及其桥接器,对物联网中的家庭、企业甚至是智慧城市中的传统计算机网络发起攻击,并重点研究了市场领先的飞利浦hue智慧灯泡和桥接器,进而发现其中的漏洞cve-2020-6007,允许攻击者通过攻击使用zigbee低功耗无线协议来控制物联网的设备从远程侵入网络。
2017年对zigbee控制智慧灯泡安全性的一项分析显示,研究人员能够控制联网hue灯泡,安装恶意固件进而传播至相近智慧灯泡网络。利用这一遗留漏洞,check point更进一步使用hue灯泡作为平台来接管灯泡的桥接器,最终攻击目标的计算机网络。新一代hue灯泡现已修复此漏洞。
攻击场景如下:
check point research网络研究总监yaniv balmas表示:“许多人都知道物联网设备可能带来安全上的风险,但这项研究表明,即使是最不起眼的设备(例如灯泡)也会被黑客用于接管网络或恶意软件植入。因此,企业和个人必须使用最新修补程序更新设备,并将其与网络上的其他设备隔离,以限制恶意软件的潜在传播,从而保护自身免于潜在攻击的威胁。在复杂的第五代攻击环境中,我们不能忽视任何联网设备的安全性。”
这项研究在特特拉维夫大学check point信息安全研究所(cpiis)的帮助下完成,并于2019年11月向飞利浦和signify(philips hue品牌母公司)披露。signify确认其产品存在漏洞后开发了修补程序(固件1935144040),该修补程序已通过自动更新升级相关产品。check point建议此产品用户主动检查是否已自动更新,以确保产品升级至最新固件。
philips hue首席技术官george yianni表示:“我们承诺尽一切努力确保产品安全,保护用户隐私不受侵犯。我们衷心感谢check point的披露及合作,这使我们能及时推出必要的修补程序进而避免用户可能面临的风险。”