日前,奇安信技术研究院刘跃、王衍豪、马振邦、侯勤胜与清华大学徐绘凯、于淼等人合作完成的学术论文《Trampoline Over the Air: Breaking in IoT Devices Through MQTT Brokers》,被网络安全领域国际会议IEEE Euro S&P 2022录用。该论文提出了一种新型物联网设备攻击思路,并用文中的方案挖掘出多款物联网设备的0day漏洞。IEEE Euro S&P与国际网络安全顶级会议IEEE S&P同源,自2016年创办以来受到安全研究人员的广泛关注,其影响力在该领域学术会议中的排名紧随四大顶会之后。
清华大学网络研究院-奇安信网络安全联合研究中心的TQL战队将文中相关方法应用于“天府杯”网络安全大赛中
MQTT协议是物联网世界中常用的通信协议之一,其轻量级、低功耗的特点非常适用于物联网设备。然而,已有多个研究报告显示,MQTT服务器在现实世界中的安全性令人担忧,全球约60%的MQTT服务器没有配置认证凭证,允许互联网中的任意攻击者远程连接服务器并订阅、发布消息,这使得以消息订阅者身份工作的物联网客户端设备成为网络攻击的新目标。但是,目前尚未有研究关注于物联网设备处理MQTT协议时的程序安全问题。该研究针对上述问题,提出了名为“空中跳板”的物联网设备攻击方式,即以认证不健全的MQTT服务器为跳板,向物联网设备发送漏洞利用消息,触发订阅端的程序漏洞。相比于传统的针对HTTP、UPnP等开放服务的漏洞利用方式,这种攻击可以在无法访问目标设备服务/端口的前提下(如设备位于NAT之下)触发漏洞,手段更为隐蔽且渗透性强。
为了挖掘此类程序漏洞,作者提出并实现了基于影子代理的黑盒模糊测试框架,将云端的MQTT服务器用本地可控的影子代理替代来转发模糊测试用例,在保证测试合法性的同时还能够监控订阅端设备的异常,及时发现程序漏洞。论文提出的方案在11款物联网设备中检测到34个0day漏洞,其中17个漏洞可以使攻击者从互联网中任意位置发起攻击并完全控制设备。目前,这些漏洞已披露给厂商或相关机构,帮助各厂商加固系统,提升设备安全性。