一個名為CVE-2020-15858的Java漏洞早在2019年就被發現，并從2月開始提供修復程序。現在，IBMs安全團隊X-Force Red正在敦促制造商更新易受攻擊的EHS8模塊。

物聯網安全有多重要？

隨著物聯網設備數量的迅速增加，以及與日常生活的日益融合，物聯網設備的安全性變得前所未有的重要。由于雙核和四核soc，過去用來發送良性信息的設備現在能夠流式傳輸視頻和處理人工智能算法，同時有足夠的處理空間在后臺運行應用程序。因此，現代物聯網設備可用于各種惡意應用，包括DDoS攻擊、加密挖掘、監視、網絡側鏈攻擊和個人信息盜竊。

物聯網設備在過去曾遭受過多次攻擊，設計人員和用戶很容易忽視物聯網設備的安全性的一個典型例子就是，賭場網絡被黑客入侵，玩家數據被盜。

此類攻擊表明了安全性的重要性，當發現缺陷時，制造商和所有者都必須對其產品進行更新，以防受到此類攻擊。當然，其他安全措施，如不使用常用密碼、默認密碼或將敏感數據存儲在不受保護的內存區域，也大大有助于加強系統。

什么是EHS8模塊？

EHS8模塊是一個集成Java ME 3.2客戶端運行時的模塊，用于需要蜂窩連接的全球物聯網應用程序。EHS8還集成了GPS、干擾檢測、高級溫度管理、嵌入式TCP/IP堆棧和USB控制器，允許創建各種不同的設計，包括工業、商業和住宅環境中的設計。

2G和3G連接的使用允許下行連接速度高達7.2Mbps，上行速度達到5.7Mbps。雖然這些在現代標準看來可能很低，但物聯網設備設計為一次發送數百字節，這樣的速度確保了數據包在最小延遲下快速發送和接收。該模塊25.4毫米x 27.6毫米的小尺寸使其成為物聯網設備的理想候選者，使用Java運行時可以快速開發應用程序，易于維護，代碼可重用性高。

什么是CVE-2020-15858漏洞？

早在2019年9月，名為X-Force Red的IBMs精英黑客團隊在EHS8 M2M模塊中發現了一個漏洞，該模塊目前正被數百萬臺設備使用。該漏洞被稱為CVE-2020-15858，影響EHS8模塊安全存儲敏感信息的能力，并能夠查看內存中未經授權用戶不允許查看的區域中的代碼和數據。該漏洞的問題在于，它允許攻擊者危害設備，通過對核心代碼進行逆向工程獲得知識產權，獲取密碼和加密密鑰。

該漏洞的根本原因與該模塊如何與AT命令（如ESP32和ESP8266模塊）一起使用有關。這些命令不使用Java，本質上是“低級”的，由于這些命令可以通過UART發送，所以可以訪問UART的Java應用程序可以繞過它下面的任何運行時。如果應用程序能夠訪問AT命令結構，它可以使用包括ATI（獲取制造商詳細信息）或ATD（撥打號碼）在內的所有命令。

由于EHS8（以及同一生產線的其他產品也受到影響）被廣泛的不同應用所使用，包括醫療和能源，攻擊者能夠影響這些設備的讀數，這可能隱藏問題事件或產生錯誤警報。同樣的設備，如果用在智能電表上，可能會減少用戶的賬單，或者更糟的是，荒謬地增加賬單。
責任編輯:tzh