青蓮晚報 | 物聯網安全多知道（第七期）

當今社會物聯網裝置已經逐漸滲透到人們生産生活的方方面面，為人們及時了解自己周圍環境以及輔助日常工作帶來便利。但随着互聯緊密度的增高，物聯網裝置的安全性問題也逐漸影響到人們的正常生活，甚至生命安全，物聯網裝置安全不容小觑。 

以下為近日的物聯網安全新聞内容。

家用GPON光纖路由器漏洞CVE-2018-10561/62 趕緊來看看你的貓中招了嗎？

VPNMentor研究人員發現了一種身份驗證繞過認證的方式來通路GPON家庭路由器（ 身份驗證繞過漏洞 CVE-2018-10561），專家們将這個漏洞與另一個（ 指令注入漏洞 CVE-2018-10562）結合在一起，并且能夠在裝置上執行指令。全球超過100萬人使用這種類型的網絡系統路由器，PoC已公開。

詳文閱讀：

http://toutiao.secjia.com/cve-2018-10561-2

ICS-CERT公告：美國必康美德醫療裝置曝多個安全漏洞

美國 ICS-CERT 釋出并修改了一份名為《美國必康美德TotalAlert Scroll 醫用空氣系統》（ICSMA-18-144-01）的公告，警告稱在美國必康美德公司 TotalAlert Scroll 醫用空氣系統的醫療裝置中發現了三個安全漏洞。

必康美德 TotalAlert Scroll 醫用空氣系統 web 應用程式中的漏洞為：CVE-2018-7526、CVE-2018-7518 和 CVE-2018-7510。

• CVE-2018-7526屬于“不正确的通路控制（CWE-284）”漏洞，評分5.3。通過通路 web 伺服器上特定的URL，惡意使用者可以在不進行身份驗證的情況下通路應用程式中的資訊。

• CVE-2018-7518屬“未充分保護憑證（CWE-522）”漏洞，評分7.5。攻擊者通過網絡通路內建 web 伺服器，可以擷取以不安全方式存儲和傳輸的預設憑證或使用者定義的憑證。

• CVE-2018-7510屬“未受保護憑證存儲（CWE-256）”漏洞，評分7.5。利用該漏洞，攻擊者可以輕易竊取密碼，密碼以明文形式顯示在檔案中，無需身份驗證即可通路。

• 詳文閱讀：

https://www.easyaq.com/news/449826044.shtml

橫河控制器被曝寫死憑證 可遭遠端控制

日本橫河電機有限公司為 STARDOM 控制器釋出固件更新，解決可被遠端用于控制裝置的一個嚴重漏洞。

運作固件版本 R4.02或更早版本的STARDOM FCJ、FCN-100、FCN-RTU和 FCN-500 控制器中存在一個寫死的使用者名和密碼憑證，具有網絡通路權限的攻擊者可借此登入裝置并執行系統指令。

詳文閱讀：

http://codesafe.cn/index.php?r=news/detail&id=4202

傷不起：軟銀機器人 Pepper 被指為安全笑話

本月初，北歐研究員指出，軟銀公司的熱門人形機器人 Pepper 中充斥着漏洞。

這款機器人可遭未經認證的攻擊者獲得根級别的權限、運作易受 Meltdown/Spectre 攻擊的處理器、可遭未加密的 HTTP 管理并且還設定了預設的根密碼。

詳文閱讀：

http://codesafe.cn/index.php?r=news/detail&id=4191

5G技術可能使大量基于SIM卡的IoT裝置處于威脅中

通過OTA管理SIM卡的不可見的SMS叫做SIM-OTA SMS消息。這種通信不需要IT連接配接，隻有通過無線電連接配接到骨幹網或承載網才可以發送SIM-OTA SMS消息。這些SIM-OTA-SMS消息的作用非常大，因為這些資訊可以修改或移除基于SIM卡的IoT裝置的一些能力。SIM-OTA SMS消息甚至可以導緻SIM卡變成磚或永久失效，如果IOT裝置的所有功能都是基于SIM無線連接配接的，那麼IOT裝置可能也會被變成磚。

詳文閱讀：

http://www.4hou.com/mobile/11919.html