網(wǎng)絡(luò)公司發(fā)現(xiàn)了與IoT設(shè)備，消息隊列遙測傳輸（MQTT）和約束應(yīng)用協(xié)議（Co2P）中使用的兩種流行的機器對機器（M2M）協(xié)議相關(guān)的主要設(shè)計缺陷和易受攻擊的實現(xiàn)。

該公司的新報告通過濫用這些協(xié)議揭示了工業(yè)間諜，拒絕服務(wù)和有針對性攻擊的日益嚴(yán)重的威脅。

在四個月的時間里，研究人員發(fā)現(xiàn)了超過200萬條MQTT消息以及超過1900萬條CoAP消息，這些消息是由暴露的代理和服務(wù)器泄露的。

惡意攻擊者可以使用簡單的關(guān)鍵字搜索找到泄露的生產(chǎn)數(shù)據(jù)，并使用它來識別可能被濫用以執(zhí)行有針對性攻擊的資產(chǎn)，人員和技術(shù)的利潤豐厚的信息。

物聯(lián)網(wǎng)安全問題

網(wǎng)絡(luò)技術(shù)人員解釋了這些協(xié)議如何代表巨大的安全風(fēng)險，他說：

“我們今天在物聯(lián)網(wǎng)設(shè)備使用的兩種最普遍的消息傳遞協(xié)議中發(fā)現(xiàn)的問題應(yīng)該是組織對其OT環(huán)境的安全性進(jìn)行認(rèn)真，全面的審視。這些協(xié)議在設(shè)計時并未考慮安全性，但在越來越廣泛的關(guān)鍵任務(wù)環(huán)境和用例中都可以找到。這代表了主要的網(wǎng)絡(luò)安全風(fēng)險。擁有適度資源的黑客可以利用這些設(shè)計缺陷和漏洞進(jìn)行偵察，橫向移動，隱蔽數(shù)據(jù)竊取和拒絕服務(wù)攻擊。“

該公司的研究表明，攻擊者可以通過利用MQTT和Co2P協(xié)議設(shè)計，實施和部署設(shè)備中的安全問題來遠(yuǎn)程控制物聯(lián)網(wǎng)端點或拒絕服務(wù)。

此外，黑客可以通過濫用這些協(xié)議中的特定功能來維持對目標(biāo)的持久訪問，從而在網(wǎng)絡(luò)上橫向移動。