科技信息: 數十種物聯網模型的關鍵缺陷正在被積極利用

21世紀是科技高速發展的時代，互聯網漸漸走入人們的生活。互聯網就像一張網。把我們緊緊聯系起來，現在的衣食住行都離不開互聯網科技，下面分享一篇關于互聯網科技的文章給大家。

研究人員本周表示，罪分子正在利用關鍵漏洞，將來自兩家不同制造商的物聯網設備聚集到僵尸網絡中，發動分布式拒絕服務攻擊。Lilin的dvr和Zyxel的存儲設備都受到了影響，用戶應該盡快安裝更新。

來自奇虎360安全公司的研究人員周五表示，多個攻擊組織正在利用Lilin DVR的漏洞，將它們加入名為FBot、Chalubo和Moobot的DDoS僵尸網絡。后兩個僵尸網絡是Mirai的副產品，Mirai是一個僵尸網絡，它使用數十萬個物聯網設備，用創紀錄的垃圾流量轟炸網站。

DVR的漏洞源于三個漏洞，這三個漏洞允許攻擊者遠程向設備注入惡意命令。這些缺陷包括:(1)設備中存在的硬編碼登錄憑證;(2)命令注入缺陷;(3)任意文件讀取缺陷。注入的參數會影響文件傳輸協議、網絡時間協議的設備功能以及網絡時間協議的更新機制。

奇虎360發布報告的前一天，安全公司帕洛阿爾托網絡(Palo Alto Networks)的研究人員報告稱，Zyxel的網絡存儲設備上最近修復的一個漏洞也在被積極利用。攻擊者利用這些漏洞安裝了另一種Mirai變種，即最近發現的Mukashi。預認證命令注入缺陷使得在設備上執行命令成為可能。從那里，攻擊者能夠接管使用容易被猜測的密碼的設備。由于利用該漏洞的方便性，在滿分10分的情況下，該嚴重漏洞被評為9.8分。

Zyxel的一份報告列出了受該漏洞影響的超過27種產品，追蹤編號為CVE-2020-9054。制造商發布的一個補丁修復了許多設備，但10個型號不再受支持。Zyxel建議這些不受支持的設備不再直接連接到互聯網。

受到這兩種漏洞影響的Lilin或Zyxel用戶應該在他們的設備可用時安裝補丁。不能打補丁的設備應該更換新的。將這些設備——以及盡可能多的其他物聯網設備——置于網絡防火墻之后，以加大破解難度，這也是一種明智的做法。運營商往往喜歡遠程訪問這些設備的便利，這使得鎖定它們變得更加困難。物聯網設備作為有缺陷、不安全的設備而享有的聲譽表明，讓物聯網設備暴露于外部連接可能會讓網絡——實際上是整個互聯網——處于危險之中。