網絡公司發現了與IoT設備，消息隊列遙測傳輸（MQTT）和約束應用協議（Co2P）中使用的兩種流行的機器對機器（M2M）協議相關的主要設計缺陷和易受攻擊的實現。

該公司的新報告通過濫用這些協議揭示了工業間諜，拒絕服務和有針對性攻擊的日益嚴重的威脅。

在四個月的時間里，研究人員發現了超過200萬條MQTT消息以及超過1900萬條CoAP消息，這些消息是由暴露的代理和服務器泄露的。

惡意攻擊者可以使用簡單的關鍵字搜索找到泄露的生產數據，并使用它來識別可能被濫用以執行有針對性攻擊的資產，人員和技術的利潤豐厚的信息。

物聯網安全問題

網絡技術人員解釋了這些協議如何代表巨大的安全風險，他說：

“我們今天在物聯網設備使用的兩種最普遍的消息傳遞協議中發現的問題應該是組織對其OT環境的安全性進行認真，全面的審視。這些協議在設計時并未考慮安全性，但在越來越廣泛的關鍵任務環境和用例中都可以找到。這代表了主要的網絡安全風險。擁有適度資源的黑客可以利用這些設計缺陷和漏洞進行偵察，橫向移動，隱蔽數據竊取和拒絕服務攻擊。“

該公司的研究表明，攻擊者可以通過利用MQTT和Co2P協議設計，實施和部署設備中的安全問題來遠程控制物聯網端點或拒絕服務。

此外，黑客可以通過濫用這些協議中的特定功能來維持對目標的持久訪問，從而在網絡上橫向移動。