物聯網技術正在加速向各行業滲透，根據中國信通院《物聯網白皮書（2020年）》內容顯示：預計到2025年，物聯網連接數的大部分增長來自產業市場，產業物聯網的連接數將占到總體的61.2%。智慧工業、智慧城市 、智慧交通、智慧健康、智慧能源等領域將最有可能成為產業物聯網連接數增長最快的領域。

當業界在推動產業物聯網高速發展同時，物聯網安全問題也給我們敲響了警鐘。2020年，國內外挖礦、設備劫持事件頻發，智能家居產品不斷爆出安全漏洞，漏洞被利用時將造成不可逆的經濟損失，同時也反映在物聯網產業建設初期，安全作為物聯網應用的基礎設施的重要性。

青蓮云物聯網安全研究院整理了2020年國內外物聯網安全漏洞，希望設備廠商、項目設計方、實施監理方等能夠更加重視物聯網安全，在項目初期建設環節引入物聯網安全解決方案，盡量減少不必要的安全風險。

青蓮云安全點評

物聯網安全漏洞已從早期的業務邏輯漏洞延伸到硬件架構、通信協議、操作系統、開源組件等核心基礎架構

物聯網業務場景的聯動融合性增強，設備單點漏洞將成為整體安全防護體系的突破口

超過60%的漏洞存在于物聯網設備固件中，開展固件安全檢測工作意義重大

超過50%的漏洞沒有補丁或者升級修復難度極大

大部分中小型制造商的物聯網設備安全問題更為嚴重

（數據來源：IOTVD青蓮云物聯網安全漏洞庫）

安全漏洞內容

一月

小米米家攝像頭被爆安全漏洞：谷歌已緊急禁止集成功能

美國Ruckus無線路由器中發現3個嚴重漏洞 被黑客遠程控制路由器

二月

Sudo 漏洞允許非特權 Linux 和 macOS 用戶以 root 身份運行命令

CVE-2020-6007：Philips智能燈泡安全漏洞

新的Wi-Fi加密漏洞披露，超十億臺設備受影響

三月

Intel 處理器曝新漏洞 打補丁性能驟降 77％

微軟證實影響 Windows 10 操作系統的 SMBv3 協議漏洞

17 年歷史的 RCE 漏洞已影響數個 Linux 系統

英特爾 CSME 爆出嚴重安全漏洞 現已發布修復補丁

Mukashi：新Mirai變種攻擊Zyxel NAS設備

Unit42Threat安全團隊發布的《2020年物聯網威脅報告》，多達83%的聯網醫療成像設備（如乳房X光造影機、MRI核磁共振成像機等等）存在安全隱患。

四月

CVE-2020-10882: TP-Link 命令注入漏洞通告

D-Link DSL-2640B設備多個最新漏洞利用分析

利用Safari瀏覽器的7個0-day漏洞利用鏈劫持相機

TP-Link Archer A7命令注入漏洞分析

福特、大眾被曝網絡安全漏洞，黑客可竊取隱私、操控車輛

五月

蘋果藍牙保護框架MagicPairing被披露10個0day漏洞

聯發科被在野利用的 RootKit 漏洞分析（CVE-2020-0069）

破門而入：智能門禁系統安全

六月

思科在工業路由器，交換機中塞滿了安全漏洞

LG曝安全漏洞，影響過去7年的LG安卓智能手機

Ripple20漏洞曝光：19個0 day漏洞影響數十億IoT設備

Netgear 數十款路由器曝出嚴重漏洞，影響79種不同型號設備

思科報告稱：智能汽車易受黑客攻擊 通過漏洞可實現“遠程控制”

Linux 再次嚴辭拒絕 Intel CPU 漏洞補丁

NVIDIA顯卡驅動曝出多安全漏洞，部分Windows和Linux設備受到影響

D-Link路由器曝多個安全漏洞

LoRaWAN協議棧首曝通用安全漏洞，數億物聯網設備倍感“威脅”

交通信號燈曝嚴重漏洞，可人為操控引發交通癱瘓

七月

聯發科芯片Rootkit漏洞分析（CVE-2020-0069）

BootHole漏洞影響數十億Windows和Linux設備

八月

三菱電機旗下工廠自動化產品被曝3個嚴重漏洞

亞馬遜 Alexa 現漏洞：可能會曝光用戶個人信息及語音歷史

Smart Lock 漏洞可以使黑客完全訪問 Wi-Fi 網絡

攻擊者正在利用思科企業級路由器中的兩個零時差漏洞

自動柜員機制造商修復了允許非法取款的缺陷

九月

蘋果高危漏洞允許攻擊者在iPhone、iPad、iPod上執行任意代碼

D-Link攝像頭在野0-Day漏洞分析報告

可 3 秒入侵 Windows 服務器：微軟敦促客戶盡快修復 Zerologon 漏洞

十月

谷歌在Linux內核發現藍牙漏洞 攻擊者可任意訪問敏感信息

十一月

群暉 SRM 組件存在多個安全漏洞

工業控制系統存在可導致遠程代碼攻擊的嚴重漏洞

微軟安全公告一年半后 仍有 245000 臺設備尚未修復 BlueKeep 高危漏洞

打印機驅動程序被標記為惡意軟件 戴爾已緊急撤下鏈接

十二月

全球超過 100 萬物聯網設備受影響 安全專家發現 33 個漏洞

D-Link路由器容易受到可遠程利用的根命令注入漏洞的攻擊

日本川崎重工披露安全漏洞

Treck TCP/IP Stack 中的新漏洞影響了數百萬個 IoT 設備

CVSS 得分均為 10 的兩個嚴重漏洞影響 Dell Wyse Thin 客戶端設備

谷歌披露存在于高通驍龍 Adreno GPU 中的高危漏洞

黑客可利用漏洞攻擊 D-Link VPN 路由器

iPhone里的照片、私人信息一覽無余！谷歌近日曝光了一個iOS嚴重Wi-Fi漏洞

多款 Schneider Electric 產品代碼問題漏洞

AMNESIA:33：33個Bug駐留在四個開源TCP/IP堆棧中

以上報告由青蓮云物聯網安全研究院收集整理，如果您的企業有任何物聯網安全問題或物聯網安全建設需求，歡迎與青蓮云取得聯系，我們將第一時間為您提供詳細的安全咨詢服務。點擊閱讀原文獲取報告文件。

原文標題：【會員動態】青蓮云發布2020年國內外典型物聯網安全漏洞盤點

文章出處：【微信公眾號：廣東省物聯網協會】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq