2017年我國(guó)聯(lián)網(wǎng)智能設(shè)備安全情況報(bào)告
責(zé)編:mhshi |2018-03-12 14:08:371、在漏洞方面,智能設(shè)備漏洞數(shù)量大幅增加。國(guó)家信息安全漏洞共享平臺(tái)(CNVD)2017年公開收錄智能設(shè)備通用型漏洞2440個(gè),同比增長(zhǎng)118%。按漏洞類型統(tǒng)計(jì),占比排在前三位的類型分別是是權(quán)限繞過(guò)(27%)、信息泄露(15%)、命令執(zhí)行(13%)。路由器及網(wǎng)關(guān)、攝像頭及視頻系統(tǒng)、機(jī)頂盒等類型設(shè)備漏洞數(shù)量多,是漏洞攻擊的重要目標(biāo),利用漏洞入侵打印機(jī)等辦公設(shè)備正在成為黑客竊取重要單位內(nèi)部文件和數(shù)據(jù)的途徑。
2、在惡意代碼攻擊活動(dòng)方面,境外控制服務(wù)器控制我國(guó)境內(nèi)的大批量智能設(shè)備。CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)2017年下半年我國(guó)境內(nèi)感染惡意代碼的受控智能設(shè)備IP地址數(shù)量約129.8萬(wàn),占比最大的是浙江(14.7%)、山東(13.3%)、江蘇(10.6%)。控制我國(guó)智能設(shè)備的境外控制服務(wù)器IP地址數(shù)量約1.22萬(wàn)個(gè),占比最大的是美國(guó)(30.3%)、俄羅斯(12.3%)、韓國(guó)(5.5%)。受控設(shè)備規(guī)模在1萬(wàn)以上的智能設(shè)備木馬僵尸網(wǎng)絡(luò)有39個(gè),控制端主要分布在荷蘭(11個(gè))、美國(guó)(11個(gè))、俄羅斯(7個(gè))和意大利(7個(gè))等國(guó)家和地區(qū),其中受控設(shè)備規(guī)模在5萬(wàn)以上的僵尸網(wǎng)絡(luò)有5個(gè)。
一、智能設(shè)備漏洞收錄情況
智能設(shè)備存在的軟硬件漏洞可能導(dǎo)致設(shè)備數(shù)據(jù)和用戶信息泄露、設(shè)備癱瘓、感染僵尸木馬程序、被用作跳板攻擊內(nèi)網(wǎng)主機(jī)和其他信息基礎(chǔ)設(shè)施等安全風(fēng)險(xiǎn)和問(wèn)題。CNVD持續(xù)對(duì)智能設(shè)備(IOT設(shè)備)漏洞開展跟蹤、收錄和通報(bào)處置,2017年漏洞收錄情況如下。
1、通用型漏洞收錄情況
通用型漏洞一般是指對(duì)某類軟硬件產(chǎn)品都會(huì)構(gòu)成安全威脅的漏洞。2017年CNVD收錄通用型IOT設(shè)備漏洞2440個(gè),與去年同期相比增長(zhǎng)118.4%。按收錄漏洞所涉及廠商、漏洞的類型、影響的設(shè)備類型統(tǒng)計(jì)如下:
漏洞涉及廠商包括谷歌、思科、華為等廠商。其中,收錄安卓生產(chǎn)廠商谷歌IOT設(shè)備漏洞948條,占全年IOT設(shè)備漏洞的32%;思科位列第二,共收錄250條;華為和友訊科技分列第三和第四,如圖1所示。
備漏洞數(shù)量.jpg)
圖 1 IOT設(shè)備漏洞數(shù)量TOP廠商排名
漏洞類型包括權(quán)限繞過(guò)、信息泄露、命令執(zhí)行、拒絕服務(wù)、跨站、緩沖區(qū)溢出、SQL注入、弱口令、設(shè)計(jì)缺陷等漏洞。其中,權(quán)限繞過(guò)、信息泄露、命令執(zhí)行漏洞數(shù)量位列前三,分別占公開收錄漏洞總數(shù)的27%、15%、13%,如圖2所示。
圖2按漏洞類型TOP分布
漏洞影響的設(shè)備類型包括包括手機(jī)設(shè)備、路由器、網(wǎng)絡(luò)攝像頭、會(huì)議系統(tǒng)、防火墻、網(wǎng)關(guān)設(shè)備、交換機(jī)等。其中,手機(jī)設(shè)備、路由器、網(wǎng)絡(luò)攝像頭的數(shù)量位列前三,分別占公開收錄漏洞總數(shù)的45%、11%、8%,如圖3所示。
按設(shè)備類型TOP分布.jpg)
圖3漏洞(通用)按設(shè)備類型TOP分布
2、事件型漏洞收錄情況
事件型漏洞一般是指對(duì)一個(gè)具體應(yīng)用構(gòu)成安全威脅的漏洞,2017年CNVD收錄IOT設(shè)備事件型漏洞306個(gè)。所影響的設(shè)備包括智能監(jiān)控平臺(tái)、網(wǎng)絡(luò)攝像頭、GPS設(shè)備、路由器、網(wǎng)關(guān)設(shè)備、防火墻、一卡通、打印機(jī)等。其中,智能監(jiān)控平臺(tái)、網(wǎng)絡(luò)攝像頭、GPS設(shè)備漏洞數(shù)量位列前三,分別占公開收錄漏洞總數(shù)的27%,18%,15%,如圖4所示。
按設(shè)備類型TOP分布.jpg)
圖4漏洞(事件型)按設(shè)備類型TOP分布
二、智能設(shè)備漏洞監(jiān)測(cè)分析案例
1、針對(duì)網(wǎng)絡(luò)攝像機(jī)WIFICAM的身份權(quán)限繞過(guò)漏洞攻擊
權(quán)限繞過(guò)漏洞在CNVD收錄漏洞種類數(shù)量中排名第一,本節(jié)對(duì)其中一種攻擊活動(dòng)非常頻繁的身份權(quán)限繞過(guò)漏洞(收錄號(hào)CNVD-2017-06897)進(jìn)行介紹,受漏洞影響的設(shè)備是遠(yuǎn)程網(wǎng)絡(luò)攝像機(jī)WirelessIP Camera(P2P) WIFICAM。該攝像機(jī)Web服務(wù)沒(méi)有正確檢查.ini配置文件的訪問(wèn)權(quán)限,攻擊者可通過(guò)構(gòu)造賬號(hào)密碼為空的Http請(qǐng)求繞過(guò)身份認(rèn)證程序下載配置文件和賬號(hào)憑證。根據(jù)CNCERT抽樣監(jiān)測(cè)數(shù)據(jù),10月22日至12月31日期間,此類漏洞的每日攻擊次數(shù)在40萬(wàn)次以上,其中11月7日高達(dá)3000萬(wàn)次,如圖5所示。
漏洞攻擊趨勢(shì)圖.jpg)
圖5 WIFICAM身份繞過(guò)漏洞攻擊趨勢(shì)圖
根據(jù)分析,除少數(shù)漏洞驗(yàn)證探測(cè)服務(wù)器和黑客惡意服務(wù)器,大部分發(fā)起漏洞攻擊/掃描的IP地址實(shí)際上是被利用的受控智能設(shè)備或受控主機(jī)的IP地址,其中位于我國(guó)境內(nèi)的IP地址約10.5萬(wàn)個(gè),排名前5的是河北、新疆、遼寧、江蘇和吉林,各省市詳細(xì)數(shù)據(jù)見圖6。
分布圖.jpg)
圖6 被利用發(fā)起WIFICAM漏洞攻擊的疑似受控設(shè)備IP地址境內(nèi)分布圖
2、部分品牌智能攝像頭弱口令漏洞情況
弱口令漏洞是聯(lián)網(wǎng)智能攝像頭的一個(gè)威脅高卻極易利用的漏洞,CNCERT持續(xù)關(guān)注此類漏洞修復(fù)情況。2017年12月底,CNCERT再次對(duì)部分品牌在互聯(lián)網(wǎng)上暴露的智能攝像頭及其弱口令漏洞情況進(jìn)行了抽樣監(jiān)測(cè)分析。這些智能攝像頭聯(lián)網(wǎng)IP地址在境內(nèi)分布情況見表1的第2列,江蘇、浙江、山東等省的智能攝像頭聯(lián)網(wǎng)IP地址均超過(guò)5萬(wàn)個(gè),其中可能存在弱口令漏洞的攝像頭聯(lián)網(wǎng)IP地址在境內(nèi)分布情況見表1的第3列,浙江、廣東、江蘇的數(shù)量排名前3。考慮到各省市區(qū)的聯(lián)網(wǎng)智能攝像頭總數(shù)存在較大差異,我們選取弱口令漏洞攝像頭百分比(某省互聯(lián)網(wǎng)上暴露的弱口令漏洞攝像頭IP數(shù)量占該省互聯(lián)網(wǎng)上暴露的全部攝像頭IP數(shù)量的百分比)反映各省市區(qū)的弱口令漏洞攝像頭比例及修復(fù)情況,發(fā)現(xiàn)重慶、四川、福建等地區(qū)的弱口令漏洞攝像頭比例相對(duì)較高,見表1的第4列。
表1 部分品牌的聯(lián)網(wǎng)智能攝像頭IP數(shù)量分布情況
| 省市 | 部分品牌聯(lián)網(wǎng)攝像頭IP數(shù)量 | 部分品牌聯(lián)網(wǎng)的弱口令攝像頭IP數(shù)量 | 弱口令攝像頭百分比(%) |
| 江蘇 | 79763 | 7024 | 8.81 |
| 浙江 | 74253 | 17749 | 23.9 |
| 山東 | 63103 | 6647 | 10.53 |
| 廣東 | 49731 | 9745 | 19.6 |
| 河北 | 28746 | 5984 | 20.82 |
| 福建 | 27459 | 6847 | 24.94 |
| 遼寧 | 27422 | 3240 | 11.82 |
| 安徽 | 26402 | 4062 | 15.39 |
| 河南 | 20184 | 3227 | 15.99 |
| 云南 | 13585 | 1918 | 14.12 |
| 重慶 | 12651 | 4966 | 39.25 |
| 山西 | 12595 | 1966 | 15.61 |
| 四川 | 12503 | 3180 | 25.43 |
| 吉林 | 12173 | 1894 | 15.56 |
| 北京 | 11271 | 2270 | 20.14 |
| 上海 | 11050 | 1882 | 17.03 |
| 江西 | 9976 | 1122 | 11.25 |
| 湖南 | 9221 | 1166 | 12.65 |
| 貴州 | 8512 | 230 | 2.7 |
| 黑龍江 | 7920 | 1667 | 21.05 |
| 湖北 | 7620 | 1697 | 22.27 |
| 內(nèi)蒙古 | 7115 | 1099 | 15.45 |
| 陜西 | 5988 | 840 | 14.03 |
| 廣西 | 5435 | 1184 | 21.78 |
| 新疆 | 5029 | 601 | 11.95 |
| 天津 | 4271 | 1048 | 24.54 |
| 甘肅 | 4059 | 941 | 23.18 |
| 海南 | 3912 | 808 | 20.65 |
| 寧夏 | 1396 | 285 | 20.42 |
| 西藏 | 1356 | 184 | 13.57 |
| 青海 | 977 | 243 | 24.87 |
目前活躍在智能設(shè)備上的惡意代碼主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Satori,這些惡意代碼及其變種可通過(guò)Telnet、SSH等遠(yuǎn)程管理服務(wù)弱口令漏洞、操作系統(tǒng)漏洞、Web及其他應(yīng)用漏洞、密碼暴力破解等途徑入侵和控制智能設(shè)備。
一、智能設(shè)備惡意代碼特點(diǎn)
1、惡意代碼感染的硬件平臺(tái)廣、設(shè)備種類多。智能設(shè)備惡意代碼多數(shù)支持嵌入式Linux操作系統(tǒng),具有跨平臺(tái)感染能力,可入侵感染Arm、Mips、X86和Powerpc等多種硬件平臺(tái)架構(gòu)的設(shè)備。
2、惡意代碼結(jié)構(gòu)復(fù)雜、功能模塊分工精細(xì)。部分惡意代碼結(jié)構(gòu)復(fù)雜、分工精細(xì),具有蠕蟲式掃描和暴力破解、漏洞設(shè)備信息上報(bào)采集、漏洞攻擊與木馬植入、C&C命令控制等多個(gè)模塊,各功能模塊可分布在不同的服務(wù)器或設(shè)備上,提高了監(jiān)測(cè)跟蹤和協(xié)調(diào)處置的難度。
3、惡意代碼變種數(shù)量多、更新升級(jí)快。由于Mirai、Gafgyt和Tsunami等惡意代碼的源代碼已公開,此類惡意代碼的更新升級(jí)速度快、變種數(shù)量多,目前變種數(shù)量已經(jīng)超過(guò)100種。9至10月份出現(xiàn)的Mirai變種IoT_reaper,其樣本中集成了9個(gè)智能設(shè)備漏洞,變種代碼將最新批露的漏洞利用代碼集成進(jìn)入樣本中,其中一個(gè)漏洞在公開后僅2天就被集成和利用。
二、智能設(shè)備惡意代碼攻擊活動(dòng)情況
CNCERT對(duì)智能設(shè)備上感染的Gafgyt、MrBlack、Tsunami、Mirai、Reaper、Ddostf等部分惡意代碼的攻擊活動(dòng)開展抽樣監(jiān)測(cè),詳細(xì)情況如下。
1、惡意代碼控制服務(wù)器數(shù)量及分布情況
2017年下半年,監(jiān)測(cè)發(fā)現(xiàn)控制服務(wù)器IP地址累計(jì)數(shù)量約1.5萬(wàn)個(gè),約81.7%的IP地址位于境外,排名前三的國(guó)家和地區(qū)依次為美國(guó)、俄羅斯、韓國(guó)。位于我國(guó)境內(nèi)的控制服務(wù)器IP地址數(shù)量為2806個(gè),排名前三的省市依次是北京、山東、廣東,詳細(xì)分布如圖7所示。
器IP地址分布圖.jpg)
圖7 2017年下半年IOT惡意代碼控制服務(wù)器IP地址分布圖
2、受控設(shè)備數(shù)量及分布情況
2017年下半年,監(jiān)測(cè)發(fā)現(xiàn)的受控智能設(shè)備IP地址的累計(jì)數(shù)量為293.8萬(wàn)個(gè),位于我國(guó)境內(nèi)的受控IP數(shù)量129.8萬(wàn),占比約44.1%,其中受控IP地址數(shù)量在5萬(wàn)以上的省份依次是浙江、山東、江蘇、遼寧、河北、河南、廣東、重慶, 詳細(xì)分布如圖8所示。
備IP地址分布圖.jpg)
圖8 2017年下半年IOT惡意代碼受控設(shè)備IP地址分布圖
3、木馬僵尸網(wǎng)絡(luò)規(guī)模統(tǒng)計(jì)分析
CNCERT對(duì)智能設(shè)備木馬僵尸網(wǎng)絡(luò)規(guī)模進(jìn)行分析,2017年下半年木馬僵尸網(wǎng)絡(luò)控制規(guī)模(單個(gè)控制服務(wù)器所控制的受控設(shè)備IP地址的累計(jì)數(shù)量)在1千以上的僵尸網(wǎng)絡(luò)有343個(gè),在1萬(wàn)以上的僵尸網(wǎng)絡(luò)有39個(gè),在5萬(wàn)以上的僵尸網(wǎng)絡(luò)有5個(gè)。控制端主要分布在荷蘭、美國(guó)、法國(guó)、意大利和俄羅斯等國(guó)家和地區(qū),詳細(xì)情況見表2。
備木馬僵尸網(wǎng)絡(luò)控制規(guī)模統(tǒng)計(jì)情況.png)
表2 2017年下半年智能設(shè)備木馬僵尸網(wǎng)絡(luò)控制規(guī)模統(tǒng)計(jì)情況
4、惡意代碼攻擊活動(dòng)變化趨勢(shì)
2017年下半年,抽樣監(jiān)測(cè)發(fā)現(xiàn)每日活躍的受控智能設(shè)備IP地址平均數(shù)量約2.7萬(wàn)個(gè)、控制服務(wù)器IP地址平均數(shù)量173個(gè),處于持續(xù)活躍態(tài)勢(shì),7月26日至8月2日、10月17日至11月3日、11月28日至12月1日惡意代碼攻擊活動(dòng)更加頻繁,其中10月26日的單日活躍受控IP地址數(shù)量達(dá)到峰值69584個(gè)、單日活躍控制服務(wù)器IP地址數(shù)量達(dá)到峰值616個(gè),如圖9所示。
變化趨勢(shì)圖.jpg)
圖9? 2017年下半年IOT惡意代碼攻擊活動(dòng)變化趨勢(shì)圖
三、受控智能設(shè)備DDoS攻擊情況
與個(gè)人電腦有所不同,路由器、交換機(jī)和網(wǎng)絡(luò)攝像頭等設(shè)備一般是不間斷的聯(lián)網(wǎng)在線,并且被控后用戶不易發(fā)現(xiàn),是DDoS攻擊的穩(wěn)定攻擊源,黑客利用這些“穩(wěn)定”的受控智能設(shè)備對(duì)公共互聯(lián)網(wǎng)上其他目標(biāo)發(fā)動(dòng)DDoS等網(wǎng)絡(luò)攻擊。CNCERT對(duì)Gafgyt等木馬僵尸網(wǎng)絡(luò)發(fā)動(dòng)的DDoS攻擊進(jìn)行抽樣監(jiān)測(cè)和分析,發(fā)現(xiàn)境外控制端利用大量境內(nèi)受控設(shè)備對(duì)境內(nèi)外的目標(biāo)發(fā)動(dòng)DDoS攻擊,表3是攻擊流量較大的部分DDoS攻擊事件數(shù)據(jù),數(shù)據(jù)顯示DDoS攻擊發(fā)起方的控制端IP地址位于境外的丹麥、美國(guó)和荷蘭等國(guó)家和地區(qū),DDoS攻擊受害方的目標(biāo)IP也位于境外的美國(guó)、德國(guó)、土耳其、丹麥和加拿大等國(guó)家和地區(qū),而被利用的DDoS攻擊資源“肉雞”則是我國(guó)大量被入侵控制的智能設(shè)備。
表3 2017年 Gafgyt等僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊(10Gbps以上)的部分事件
CNCERT建議相關(guān)廠商和廣大用戶更加重視聯(lián)網(wǎng)智能設(shè)備安全問(wèn)題,做好相關(guān)網(wǎng)絡(luò)安全防護(hù):
1、建議智能設(shè)備廠商加強(qiáng)產(chǎn)品的安全測(cè)試認(rèn)證和技術(shù)防護(hù)能力,提升設(shè)備產(chǎn)品安全防護(hù)技術(shù)水平,做好設(shè)備產(chǎn)品自查工作,產(chǎn)品投放市場(chǎng)前做好安全測(cè)試,建立積極有效的應(yīng)急處置措施機(jī)制,及時(shí)修復(fù)設(shè)備漏洞。
2、建議智能設(shè)備用戶及相關(guān)使用單位提高安全意識(shí),規(guī)范設(shè)備安全配置,及時(shí)更新升級(jí)固件、修復(fù)漏洞,避免設(shè)備使用默認(rèn)密碼或弱密碼,關(guān)閉不必要的遠(yuǎn)程服務(wù)端口。如需開放遠(yuǎn)程端口,建議配置防火墻策略、設(shè)置NAT映射和更改為非默認(rèn)端口等措施,非必要情況下盡量不在設(shè)備中留存姓名、身份證、賬號(hào)、電話、住址等個(gè)人信息。
3、發(fā)現(xiàn)設(shè)備不明異常后,及時(shí)與安全機(jī)構(gòu)或廠商聯(lián)系,關(guān)注CNCERT發(fā)布的相關(guān)公告,采取應(yīng)對(duì)措施避免安全風(fēng)險(xiǎn)和隱患。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!