IPv6即將來臨，更多的物聯(lián)網設備將擁有獨立的IP地址，由它們開啟的全球互聯(lián)時代也將正式來臨，然而在時代演變方便人們生活的同時，這也將帶來全新的安全挑戰(zhàn)，必須要有足夠的風險防范意識，并為之建立相應強度的足夠的防御手段。

近日，知道創(chuàng)宇 404 實驗室在一項安全研究中發(fā)現，國外某工控物聯(lián)網設備制造商投向市場使用的某款設備大范圍的暴露在了公網之上，并且疏忽大意的并未對訪問進行足夠嚴密的授權。

據了解，這家設備制造商位于西班牙，其主要提供停車場效率解決方案和電動汽車智能充電方案。其主打的產品與服務包括 iPark, LedPark, EVPark, WallBox Series, Post Series, Dc Chargers Series, Dynamic Load Management。

(上圖為固件升級頁面)

知道創(chuàng)宇 404 實驗室安全研究員研究發(fā)現，不知出于何種原因，該設備制造商目前一定量級的電動汽車智能充電系統(tǒng)被公然暴露于外網之上，且存在未授權訪問漏洞。這也將導致如存在攻擊者，不僅可獲取敏感信息，甚至可以執(zhí)行固件升級等操作。

只要有一點技術常識的朋友都應該清楚這將帶來什么樣的安全后果，類似后果可自行腦補育碧“看門狗”游戲當中的各種黑客過載破壞畫面。

(上圖為ZoomEye公網搜索結果)

404 實驗室安全研究員利用 ZoomEye網絡空間搜索引擎探測發(fā)現，該型號設備目前全球可探測共有 557 臺設備 可能會受該漏洞影響。雖然這并不算是個很大的量級，但因為其作為基礎設施暴露出如此低級漏洞，仍然值得人們警覺。

出于某此深層原因，安全團隊并未深入研究其背后的安全后果，但從該事件可以看出，無論出于何種原因，這些生產基礎設施的廠商都應該花費更大的精力來解決安全性方面的問題，避免由此帶來嚴重的安全風險，因為這種風險很容易上升至國家等級。

還有一點就是實際運營單位暴露出的問題，他們有責任也有義務需要對安全性方面進行全方面的考慮和評估，相應的安全檢查措施一定要嚴格遵循，顯然在該事件當中涉事單位也難辭其咎。

該事件也對我國的基礎設施安全也有著引以為戒的警示作用，知道創(chuàng)宇作為北京市基礎設施檢查支持單位曾參與過十九大保障前期的基礎設施安全檢查工作，期間也發(fā)現過我國基礎設施存在的若干安全隱患，這也是一種現狀問題，從生產廠商及運營單位的安全能力來看完全杜絕安全風險還不太現實，第三方安全服務的必要性也在此得到凸顯。