近日,中科数测研究院在对工业级MQTT消息中间件NanoMQ的系统性安全测试中,连续发现3个可远程触发的高危漏洞,覆盖协议逻辑缺陷、越界读取、释放后使用(Use-After-Free)三大核心风险类型,严重威胁工业物联网(lloT)核心基础设施安全。
NanoMQ是由EMQ团队打造的高性能、轻量级MQTT Broker,作为工业物联网体系中的通信枢纽型基础设施,它就像连接设备、数据与系统的"数字桥梁",原生支持MQTTv3.1.1/v5协议,凭借高并发、低资源占用的核心优势,专为边缘计算、嵌入式环境优化设计。
其应用场景贯穿多个关键领域:
●工业互联网/工业控制系统(lloT/ICS):车间设备协同、生产流程控制;
●车联网(V2X):车辆与路侧设备、云端数据传输;
●智慧能源/电力物联网:电网监测、充电桩数据交互;
●边缘计算节点:工业边缘网关、嵌入式终端;
●智能制造与传感器网络:海量传感器数据汇聚与分发。
更关键的是,NanoMQ常部署于设备接入层、数据汇聚层、实时控制链路等核心环节,直接衔接业务系统与物理设备——一旦出现安全异常,可能导致工业设备失控、数据泄漏、生产中断等严重后果,甚至引发物理安全事故。
本次发现的3个漏洞均已获得CVE官方编号,CVSS评分最高达7.5分(高危等级),具体如下:
值得警惕的是,这些漏洞无需物理接触,仅通过网络远程即可触发。结合NanoMQ在工业控制、电力、车联网等关键领域的广泛应用,一旦被黑客利用,可能引发连锁反应。
工业通信作为智能制造的 “神经中枢”,其自主可控与安全防护是新型工业化的核心前提。当前,低空经济、工业互联网、卫星网络加速融合,设备互联规模呈指数级增长,中科数测研究院长期深耕通信协议安全领域,我们深刻认识到:控制不了协议,就控制不了系统;看不见协议漏洞,就谈不上真正的安全。
面向未来,中科数测研究院将持续聚焦通信协议安全,加大对工业互联网、车联网、边缘计算等关键领域的安全研究力度,持续公开高质量漏洞研究成果,为行业提供安全参考。
我们诚挚邀请:
●相关厂商:及时关注漏洞修复进展,推动产品安全升级,保障用户业务稳定;
●研究机构:加强技术交流与合作,共同攻克协议安全难题;
●行业用户:重视工业通信组件安全评估,建立常态化漏洞检测机制。
工业安全无小事,协议安全是根基。我们期待与更多伙伴携手同行,以技术创新筑牢安全屏障,为新型工业化、数字经济高质量发展保驾护航!
