MITRE曝光的IoT设备安全隐患

关键要点

• MITRE安全通告意外暴露多种易受攻击的物联网设备。
• 易受攻击的系统链接被发现嵌入在MITRE发布的CVE的references部分。
• 安全专家批评此做法，认为不尊重受影响方。
• MITRE承认过去曾有类似情况发生，相关链接已被删除。

根据的报道，自4月份以来，超过十几种易受攻击的物联网设备因MITRE发布的一项安全漏洞通告而意外暴露。通过匿名举报者的发现，一些指向易受攻击系统的链接被纳入MITRE发布的CVE的“参考”部分，点击这些链接会将潜在的攻击者重定向到不安全的IP摄像头和视频设备的远程管理控制台，这可能导致安全利用。

MITRE表示，此类链接的加入过去也曾发生过，然而安全专家对此表示强烈谴责。CERT协调中心的漏洞分析师WillDormann指出：“在CVE条目中列出活跃的易受攻击实例对受影响的当事方是不尊重的。参与CVE条目创建的各方应该对此有更好的认识。令人惊讶的是，根据CVE-2022-25584的GitHub仓库，作者竟然是MITRE自己。”

BleepingComputer后续发现，尽管这些参考链接已经被移除，但相关信息可能已经在第三方来源中被传播。

相关链接

链接 | 描述
—|—
| MITRE释放的最新安全通告
| 相关的安全新闻报道

此事件再次引发了对公共安全和信息披露方式的关注，显示出物联网设备安全问题的迫切性及其对公共安全的潜在威胁。