前沿洞察
物联网
威胁观点 1: 2019 年,我们共捕获到 30 余种对于物联网漏洞的利用行为,其中以远程命令执行类漏洞 居多。虽然每年都会有数百到数千个不等的物联网漏洞被公开,但是真正能够造成大范围影响的漏洞并 不多。攻击者偏向于对暴露数量较多的设备(路由器 和视频监控设备)进行攻击,从而扩大其影响范围。观点 2: 物联网设备是 Telnet 弱口令爆破的重点目标,其中摄像头 和路由器是重灾区。观点 3: 自 2 月被百度安全研究人员披露以来,今年下半年利用 WS-Discovery 协议进行反射攻击 的事件明显增多。我们捕获的反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速,需要 引起安全厂商、服务提供商、运营商 等相关机构足够的重视。观点 4: 全球约 228 万台物联网设备开放了 UPnP SSDP 服务(1900 端口),存在被利用进行 DDoS 攻击的风险,设备总量较去年减少约 22%。约 39 万台物联网设备暴露的 UPnP 端口映射服务存 在被滥用的可能,可被用于做代理或将内网服务暴露在外网。
物联网漏洞利用威胁观察
通过绿盟威胁捕获系统,我们对全球物联网漏洞利用情况进行了分析。下面的数据来源于 2019.5.6~2019.11.6 的捕获日志。 我们共捕获到 30 余种对于物联网漏洞 [^1] 的利用行为,其中以远程命令执行类漏洞居多。这也说明了, 从全网物联网威胁的角度来讲,虽然每年都会有数百到数千不等的物联网漏洞被公开出来,但是真正能 够造成大范围影响的并不多。我们将一天来自同一个源 IP 的日志归纳为一次攻击事件,表 6.1 是我们 按照攻击 IP 去重统计之后得到的物联网漏洞利用 Top 10 列表,按数量从多到少排序。从中可以看出攻 击者主要在对路由器和频监控设备进行漏洞利用,这也与互联网 上暴露的物联网设备以路由器和频 监控设备为主相一致,说明攻击者偏向于对暴露数量较多的设备进行攻击,从而扩大其影响范围。这些 漏洞的 PoC 大部分都可以在 Exploit-DB中找到,个别不在其中的也可以在 GitHub 中找到。PoC 的公开 大大降低了攻击者构造攻击载荷的成本。
表 6.1 物联网漏洞利用数量 Top10
| Exploit-DB 编号 | 漏洞公开年份 | CVE编号 | 漏洞描述 |
|---|---|---|---|
| 43414 | 2017 | CVE-2017-17215 | Huawei Router HG532 - Arbitrary Command Execution |
| 37169 | 2014 | CVE-2014-8361 | Realtek SDK - Miniigd UPnP SOAP Command Execution |
| 40740 | 2016 | CVE-2016-10372 | Eir D1000 Wireless Router - WAN Side Remote Command Injection |
| N/A | 2018 | N/A | Shenzhen TVT Digital Technology Co. Ltd & OEM {DVR/NVR/ IPC} API RCE |
| 43387 | 2014 | N/A | Netcore / Netis Routers - UDP Backdoor Access |
| 31683 | 2014 | N/A | Linksys E-series - Remote Code Execution |
| 37171 | 2015 | CVE-2015-2051 | D-Link Devices - HNAP SOAPAction-Header Command Execution |
| 41471 | 2017 | N/A | MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution |
| 43055 | 2017 | N/A | Netgear DGN1000 1.1.00.48 - 'Setup.cgi' Remote Code Execution |
| 44760 | 2018 | N/A | D-Link DSL-2750B - OS Command Injection |
| 我们对去重之后的源 IP 的国家分布进行了分析,从图 6.1 中可以看出,位于中国的恶意 IP 数量比 其他国家高了一个量级,其它恶意 IP 数量比较多的国家有巴西、美国、俄罗斯等。 | |||
| 100% 45000 | |||
| 90% 40000 | |||
| 80% 35000 | |||
| 70% 30000 | |||
| 60% | |||
| 25000 | |||
| 50% | |||
| 20000 | |||
| 恶意IP占比40% IP总量(个) | |||
| 15000 | |||
| 30% | |||
| 20% 10000 | |||
| 10% 5000 | |||
| 0% 0 | |||
| 中国 巴西 美国 印度 伊朗 越南 韩国 英国 俄罗斯 土耳其 乌克兰意大利 阿根廷 墨西哥 | |||
| 印度尼西亚 | |||
| 图 6.1 绿盟威胁捕获系统物联网类日志源 IP 的国家分布情况 |
我们对漏洞利用载荷中的样本下载服务器 IP 的国家分布进行了分析,如图 6.2 所示,样本下载服务 器位于美国的最多,占 15.9%。
印度 德国 韩国 荷兰
摩尔多瓦 中国
国家名称
伊朗 俄罗斯 巴西 美国
0 50 100 150 200 250
数量(个)
图 6.2 物联网类攻击样本下载服务器 IP 所在国家 Top 10
