别说没人警告过!联网家电存在风险!
德国美诺(Miele)洗碗机给洗碗机配置了网络服务器,实现了全物联网。其近则因美诺专业PG 8528——网络服务器目录遍历日而出现在一则漏洞披露报告中,该漏洞在通用漏洞及披露数据库中的代码为CVE-2017-7240。
详情请见:http://seclists.org/fulldisclosure/2017/Mar/63。
响应的嵌入式Web服务器‘PST10 WebServer’通常会侦听端口80,并且有倾向实施目录遍历攻击,因此,未经身份的攻击者也许可以利用该漏洞访问敏感信息,以进行后续攻击。
美诺(Miele)全物联网洗碗机当属懒人界的一大神器,若您也购买了如此高端大气上档次的洗碗机,您自己也可以轻松验证该漏洞:
get /../../../../../../../../../../../../etc/shadow HTTP/1.1 to 172.0.0.1(任何一个你想访问的内网IP)
目录遍历(directory traversal)攻击允许犯罪分子访问目录,而非网络服务器需要的内容。一旦这些犯罪分子获取这些目录,他们便可以任意插入代码,并让网络服务器执行。
目前尚不清楚,美诺的哪些库被用来搭建网络服务器,这就意味着,美诺暂未修复漏洞。对于洗碗机,最好是确保设备未暴露在互联网上。
联网电器制造公司大多没有漏洞修复流程
发现该洗碗机的网络服务器的研究人员是施耐德和Wulf EDV-Beratung GmbH & Co. KG公司的Jens Regel抱怨称,美诺从未响应他发出的通知。2016年11月他曾第一次于通知了美诺公司。
由于美诺是一家设备公司,而不是纯粹的IT公司,因此并没有报告或修复漏洞的流程。
专家建议家电制造商:如果并非自己所长,尽量不要将设备联网。
在中国,有大量的家电制造商也在推出“炫酷”的联网智能电器,包括WIFI连接的豆浆机、电饭煲等等。用户目前还沉侵在这些电器给生活带来便捷的轻松生活之中,而未注意到物联网的危害已悄悄袭来。
而联网的智能电器制造商在电器的制造过程中也应该更多关注网络安全的问题。
本文转自d1net(转载)
