《2021網絡空間測繪年報》解讀｜77% 的MQTT服務存在未授權訪問風險

云上服務、資產數量巨大、類型眾多，不同服務及資產暴露的攻擊面均不相同，相應的安全成熟度也有較大差異，云上安全態勢較為復雜。只有對云上風險有充足的認識和評估的基礎上，才能夠安全上云、確保業務在云上持續安全運行。綠盟科技《2021網絡空間測繪年報》中對公有云上的消息隊列遙測傳輸（以下簡稱：MQTT）服務進行了測繪分析。

MQTT 是IBM發布的基于發布/訂閱范式的消息協議。由于其輕量、簡單、開放和易于實現的特點，非常適用于物聯網設備。MQTT服務中有三種角色：發布者、訂閱者和代理。發布者將主題以及其對應的消息發送給代理；訂閱者向代理“訂閱主題”。訂閱者可以接收到該主題的所有消息。作為云上使用較多的物聯網協議，MQTT自身以及使用MQTT服務的物聯網服務、平臺存在眾多安全風險，其中風險以未授權訪問、弱口令為主。如圖1所示，我們對公有云上的MQTT服務進行測繪，共發現32萬余個資產涉及MQTT服務，其中77%存在未授權訪問風險。在暴露的MQTT服務中，絕大部分采用mosquitto作為消息代理（服務器）軟件，圖2是mosquitto的版本統計。

圖1 MQTT服務未授權訪問統計

圖2 mosquito版本統計

使用MQTT服務的開源物聯網平臺同樣存在安全風險。我們對支持MQTT服務的開源物聯網平臺HomeAssistant、JetLinks和ThingsBoard進行測繪分析。

HomeAssistant作為應用較多智能家居平臺，通過測繪，我們共發現國內3142條涉及HomeAssistant的服務暴露在互聯網上。HomeAssistant中的MQTT代理存在配置不當、允許匿名連接問題，導致了攻擊者可以獲取智能設備的配置信息，并據此獲取設備的傳感器數據，甚至可以操控設備。圖3展示了攻擊者通過允許匿名訪問的MQTT服務，控制連接HomeAssistant的智能設備。

圖3 通過MQTT控制設備

JetLinks和ThingsBoard作為企業級的物聯網平臺，可以幫助企業快速建立物聯網相關業務系統。通過測繪，我們共發現3775條記錄涉及ThingsBoard服務、63條記錄涉及JetLinks服務，其中某個服務暴露了數萬條涉及智能售貨柜、快遞服務的敏感信息。JetLinks和ThingsBoard明文存儲MQTT連接信息。一旦平臺其存在弱口令、未授權訪問等情況，攻擊者可以拿到MQTT的連接信息，達到獲得設備敏感數據、操控設備的目的。

總結來說，物聯網云服務公有云部署是一種趨勢。以MQTT服務為主的物聯網協議，存在未授權訪問、弱口令等風險。攻擊者可以獲得物聯網設備的敏感數據，甚至可以修改數據、控制設備。針對以上安全風險，我們建議用戶禁止MQTT匿名訪問，在服務端設置認證，強制用戶名密碼驗證并采取復雜密碼，避免弱口令。

MQTT服務只是眾多暴露在公有云上的協議之一。通過對公有云協議進行測繪，發現與之關聯的服務的安全風險，對于網絡空間測繪有著重大意義。公有云協議測繪的更多內容。