物联网供应链中的问题

COVID-19的大流行加速了物联网设备的采用，随着复工和就业的需要，很多企业都采用了非接触式物联网设，例如销售点(POS)终端和体温摄像头，以确保业务运营的安全。Palo Alto Networks的研究表明，目前全球89%的IT行业从业者表示，其组织网络中的物联网设备数量在去年有所增加，其中有超过三分之一(35%)的人表示有显著增加。此外，国际数据公司(IDC)估计，到2025年，将有416亿台联网的物联网设备被投入使用。

 

但是，任何事都有两面性，这种趋势也增加了攻击面，这很可能会吸引更多针对物联网设备和物联网供应链的攻击和利用。本文，Unit 42研究了当前的物联网供应链生态系统，并解释了影响物联网供应链的多层威胁和漏洞。没有任何层级是完整和安全的，另外研究人员还研究了攻击物联网供应链的潜在动机类型。介绍硬件、固件、操作和漏洞层的风险和现实世界的例子，有助于有效地制定风险控制和缓解战略，防止理论上的网络攻击成为现实。

物联网供应链风险

供应链是供应商、制造商或零售商和他们的供应商之间的一系列联系，这种联系使生产和向消费者提供硬件或软件产品或运营服务成为可能。

物联网供应链中的风险

供应链的全景图

通常，当人们谈论物联网中的供应链攻击时，他们谈论的是将要安装在某个物联网设备(如路由器或摄像头)中的软件，这些设备已被侵入且隐藏恶意软件。然而，物联网中的供应链攻击也可以指通过植入或修改硬件来改变设备的行为。考虑供应链漏洞也很重要，其中第三方软件(如库、驱动程序、内核或硬件组件)安装了漏洞，或者是某些组件(如应用程序或固件)的一部分。

物联网供应链中的风险

物联网设备组件

在软件开发生命周期和产品设计过程中，一个常见的错误做法是合并第三方软件和硬件组件，而不列出已添加到设备中的组件。因此，当在其中一个组件上发现一个新的漏洞时，比如零日漏洞，就很难知道同一个供应商有多少产品受到了影响，点此查看具体的攻击示例。更糟糕的是，可能很难确定在不同的供应商和制造商之间，通常有多少设备受到这个漏洞的影响。通常，安装在不同设备上的固件使用已知包含漏洞的不推荐的库或组件。尽管如此，该固件仍可用于市场上许多设备的生产中。

从用户的角度来看，很难知道正在购买的物联网设备中有哪些组件在运行。这些组件具有内在的安全属性，这些属性依赖于其他组件，而这些组件又具有它们自己的安全属性。如果这些组件中的任何一个是脆弱的，攻击者可以破坏整个设备。此外，使用物联网设备管理网络的用户并不总是保持连接到该网络的物联网设备数量的库存。因此，跟踪企业网络中存在的潜在易受攻击的设备，将安全和风险管理变成一项艰巨的任务，这会提高网络攻击成功的几率。

物联网供应链攻击示例

1. 硬件组件：伪装成思科交换机

2020年7月，F-Secure分析了在商业环境中发现的假冒Cisco Catalyst 2960-X系列交换机。该设备长时间运行平稳，这使其很难被识别为伪造品。最终，这些设备在软件升级后被发现出现故障，这才导致它们被发现。该分析不仅强调了身份验证控制是如何被绕过的，还强调了潜在的后门访问可能对受影响的公司造成网络安全风险。

2. 固件：OpenWrt设备

OpenWrt是一种开源操作系统，可以替代来自许多网络设备(如路由器、访问点和Wi-Fi中继器)的不同供应商固件中包含的固件。根据OpenWrt项目网页，OpenWrt提供了一个具有包管理功能的可完全写的文件系统。这将使你从供应商提供的应用程序选择和配置中解脱出来，并允许你通过使用包来定制设备以适应任何应用程序。对于开发人员来说，OpenWrt是一个可以用来构建应用程序的框架，而不必围绕它构建完整的固件。对于用户来说，OpenWrt以原始设备不支持的方式提供了对设备的完全定制和使用。

2020年3月，在OpenWrt中发现的一个漏洞允许攻击者模拟downloads.openwrt.org上的下载，并使设备下载恶意更新。这意味着跨不同供应商和模型的多个路由器受到此漏洞的影响。