IPv6即將來臨，更多的物聯(lián)網(wǎng)設(shè)備將擁有獨立的IP地址，由它們開啟的全球互聯(lián)時代也將正式來臨，然而在時代演變方便人們生活的同時，這也將帶來全新的安全挑戰(zhàn)，必須要有足夠的風(fēng)險防范意識，并為之建立相應(yīng)強(qiáng)度的足夠的防御手段。

近日，知道創(chuàng)宇 404 實驗室在一項安全研究中發(fā)現(xiàn)，國外某工控物聯(lián)網(wǎng)設(shè)備制造商投向市場使用的某款設(shè)備大范圍的暴露在了公網(wǎng)之上，并且疏忽大意的并未對訪問進(jìn)行足夠嚴(yán)密的授權(quán)。

據(jù)了解，這家設(shè)備制造商位于西班牙，其主要提供停車場效率解決方案和電動汽車智能充電方案。其主打的產(chǎn)品與服務(wù)包括 iPark, LedPark, EVPark, WallBox Series, Post Series, Dc Chargers Series, Dynamic Load Management。

(上圖為固件升級頁面)

知道創(chuàng)宇 404 實驗室安全研究員研究發(fā)現(xiàn)，不知出于何種原因，該設(shè)備制造商目前一定量級的電動汽車智能充電系統(tǒng)被公然暴露于外網(wǎng)之上，且存在未授權(quán)訪問漏洞。這也將導(dǎo)致如存在攻擊者，不僅可獲取敏感信息，甚至可以執(zhí)行固件升級等操作。

只要有一點技術(shù)常識的朋友都應(yīng)該清楚這將帶來什么樣的安全后果，類似后果可自行腦補育碧“看門狗”游戲當(dāng)中的各種黑客過載破壞畫面。

(上圖為ZoomEye公網(wǎng)搜索結(jié)果)

404 實驗室安全研究員利用 ZoomEye網(wǎng)絡(luò)空間搜索引擎探測發(fā)現(xiàn)，該型號設(shè)備目前全球可探測共有 557 臺設(shè)備 可能會受該漏洞影響。雖然這并不算是個很大的量級，但因為其作為基礎(chǔ)設(shè)施暴露出如此低級漏洞，仍然值得人們警覺。

出于某此深層原因，安全團(tuán)隊并未深入研究其背后的安全后果，但從該事件可以看出，無論出于何種原因，這些生產(chǎn)基礎(chǔ)設(shè)施的廠商都應(yīng)該花費更大的精力來解決安全性方面的問題，避免由此帶來嚴(yán)重的安全風(fēng)險，因為這種風(fēng)險很容易上升至國家等級。

還有一點就是實際運營單位暴露出的問題，他們有責(zé)任也有義務(wù)需要對安全性方面進(jìn)行全方面的考慮和評估，相應(yīng)的安全檢查措施一定要嚴(yán)格遵循，顯然在該事件當(dāng)中涉事單位也難辭其咎。

該事件也對我國的基礎(chǔ)設(shè)施安全也有著引以為戒的警示作用，知道創(chuàng)宇作為北京市基礎(chǔ)設(shè)施檢查支持單位曾參與過十九大保障前期的基礎(chǔ)設(shè)施安全檢查工作，期間也發(fā)現(xiàn)過我國基礎(chǔ)設(shè)施存在的若干安全隱患，這也是一種現(xiàn)狀問題，從生產(chǎn)廠商及運營單位的安全能力來看完全杜絕安全風(fēng)險還不太現(xiàn)實，第三方安全服務(wù)的必要性也在此得到凸顯。