Check Point的威胁情报部门Check Point Research今日披露智能照明的漏洞,黑客可利用此漏洞接管智慧灯泡及其桥接器,进而将勒索软件或其他恶意软件传播到企业和家庭网络。
Check Point研究人员展示了攻击者如何通过智慧灯泡及其桥接器,对物联网中的家庭、企业甚至是智慧城市中的传统计算机网络发起攻击,并重点研究了市场领先的飞利浦Hue智慧灯泡和桥接器,进而发现其中的漏洞CVE-2020-6007,允许攻击者通过攻击使用ZigBee低功耗无线协议来控制物联网的设备从远程侵入网络。
2017年对ZigBee控制智慧灯泡安全性的一项分析显示,研究人员能够控制联网Hue灯泡,安装恶意固件进而传播至相近智慧灯泡网络。利用这一遗留漏洞,Check Point更进一步使用Hue灯泡作为平台来接管灯泡的桥接器,最终攻击目标的计算机网络。新一代Hue灯泡现已修复此漏洞。
攻击场景如下:
Check Point Research网络研究总监Yaniv Balmas表示:“许多人都知道物联网设备可能带来安全上的风险,但这项研究表明,即使是最不起眼的设备(例如灯泡)也会被黑客用于接管网络或恶意软件植入。因此,企业和个人必须使用最新修补程序更新设备,并将其与网络上的其他设备隔离,以限制恶意软件的潜在传播,从而保护自身免于潜在攻击的威胁。在复杂的第五代攻击环境中,我们不能忽视任何联网设备的安全性。”
这项研究在特特拉维夫大学Check Point信息安全研究所(CPIIS)的帮助下完成,并于2019年11月向飞利浦和Signify(Philips Hue品牌母公司)披露。Signify确认其产品存在漏洞后开发了修补程序(固件1935144040),该修补程序已通过自动更新升级相关产品。Check Point建议此产品用户主动检查是否已自动更新,以确保产品升级至最新固件。
Philips Hue首席技术官George Yianni表示:“我们承诺尽一切努力确保产品安全,保护用户隐私不受侵犯。我们衷心感谢Check Point的披露及合作,这使我们能及时推出必要的修补程序进而避免用户可能面临的风险。”