2021年物联网设备安全漏洞的分析

            时光飞逝,一眨眼走到了2022年。新的起点即将开始,我们一起来回望一下下二零二一年的物联网设备CVE情况。二零二一年CVSSV3均值为5.6,二零二零年CVSSV3均值为6.2,同期相比上年降低0.5。使用均值的比照,我们可以清晰的见到各种厂家在二零二一年对物联网安全的注重性愈来愈高,注重也愈来愈可靠。物联网应用与我们的日常生活密切相关,见到物联网应用的安全性能的持续的提升,做为客户对我们自己的个人隐私等得到更可靠的确保。咱们做为1个致力于物联网安全的企业,统计分析了下列知名品牌一部分得分较高的CVE编码及其叙述等。

outputo-20220211-100031-509-mamo.png

CVSSV3得分7.3,CiscoIOSXECAPWAP数据的堆外溢,用以CiscoCatalyst9000系列产品无线中继器的CiscoIOSXEac控制器的无线中继器控制和配备(CAPWAP)协议解决中存有1个漏洞,该漏洞可以容许尚未身份认证的远程网络攻击者以管理员权限实行任何代码或导致拒绝服务攻击(DoS)受影响机器设备的情况。该漏洞是因为认证CAPWAP数据环节中产生的逻辑错误导致的。网络攻击者可以使用向受影响的机器设备推送纯手工制作的CAPWAP数据来使用此漏洞。顺利的使用可以容许网络攻击者以管理员权限实行任何代码或导致受影响的机器设备奔溃并重新加载,进而导致DoS。(NME公布时间:二零二一-08-23)

CVE-二零二一-34730

CVSSV3得分9.8,CiscoSmallBusinessRV110W、RV130、RV130W和RV215W无线路由器的常用1394连接(UPnP)服务中存有1个漏洞,该漏洞可以容许尚未身份认证的远程网络攻击者实行任何代码或导致受影响的机器设备意外重启,进而导致拒绝服务攻击(DoS)。此漏洞是因为对传入UPnP数据流量的认证不合理导致的。网络攻击者可以使用向受影响的机器设备推送精心策划的UPnP请求来使用此漏洞。顺利的使用可以容许网络攻击者以root客户身份在底部操作系统上实行任何代码或导致机器设备重新加载,进而导致DoS。(NME公布时间:二零二一-08-18)

分享: