《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 物聯(lián)網(wǎng)安全威脅情報(2021年3月)

物聯(lián)網(wǎng)安全威脅情報(2021年3月)

2021-04-14
來源: 關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: 物聯(lián)網(wǎng) 安全

  1

  總體概述

  根據(jù)CNCERT監(jiān)測數(shù)據(jù),自2021年3月1日至31日,共監(jiān)測到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為6億1682萬次,捕獲IoT惡意樣本2738個,發(fā)現(xiàn)IoT惡意程序傳播IP地址21萬1085個、威脅資產(chǎn)(IP地址)155萬余個,境內(nèi)被攻擊的設(shè)備地址達(dá)771萬個。

  2

  惡意程序傳播情況

  本月發(fā)現(xiàn)21萬1085個IoT惡意程序傳播地址,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄羅斯(3.07%)等國家/地區(qū),地域分布如圖1所示。

 1.png

  圖1 境外惡意程序傳播服務(wù)器IP地址國家/地區(qū)分布

  在本月發(fā)現(xiàn)的惡意樣本傳播IP地址中,有11萬8496個為新增,其余在往期監(jiān)測月份中也有發(fā)現(xiàn)。往前追溯半年,按監(jiān)測月份排列,歷史及新增IP分布如圖2所示。

 2.png

  圖2 歷史及新增傳播IP地址數(shù)量

  3

  攻擊源分析

  黑客采用密碼爆破和漏洞利用的方式進(jìn)行攻擊,根據(jù)監(jiān)測情況,共發(fā)現(xiàn)6億1682萬個物聯(lián)網(wǎng)相關(guān)的漏洞利用行為,被利用最多的10個已知IoT漏洞分別是:

  表1 本月被利用最多的10個已知IoT漏洞(按攻擊次數(shù)統(tǒng)計)

微信截圖_20210414151353.png

  發(fā)起攻擊次數(shù)最多的10個威脅資產(chǎn)(IP地址)是:

  表2 本月發(fā)起攻擊次數(shù)最多的10個IP地址

  2.png

  本月共發(fā)現(xiàn)155萬6753個IoT設(shè)備威脅資產(chǎn)(IP地址),其中,絕大多數(shù)資產(chǎn)向網(wǎng)絡(luò)中的其他設(shè)備發(fā)起攻擊,一部分資產(chǎn)提供惡意程序下載服務(wù)。境外威脅資產(chǎn)主要位于美國(43.87%)、印度(7.11%)、加拿大(3.97%)、英國(3.46%)等國家或地區(qū),地域分布如圖3所示。

  3.png

  圖3 境外威脅資產(chǎn)的國家/地區(qū)分布(前30個)

  境內(nèi)威脅資產(chǎn)主要位于河南(29.07%)、廣東(14.4%)、香港(13.05%)、臺灣(8.32%)等行政區(qū),地域分布如圖4所示。

4.png

  圖4 境內(nèi)威脅資產(chǎn)的省市分布

  4

  被攻擊情況

  境內(nèi)被攻擊的IoT設(shè)備的IP地址有771萬4848個,主要位于浙江(20%)、臺灣(16.45%)、北京(16%)、廣東(7.92%)等,地域分布如圖5所示。

 5.png

  圖5 境內(nèi)被攻擊的IoT設(shè)備IP地址的地域分布

  5

  樣本情況

  本月捕獲IoT惡意程序樣本2738個,惡意程序傳播時常用的文件名有Mozi、i、bin等,按樣本數(shù)量統(tǒng)計如圖6所示。

  6.png

  圖6 惡意程序文件名分布(前30種)

  按樣本數(shù)量統(tǒng)計,漏洞利用方式在惡意程序中的分布如圖7所示。

  微信圖片_20210414151626.jpg

  圖7 漏洞利用方式在惡意程序中的分布(前10種)

  按樣本數(shù)量統(tǒng)計,分發(fā)惡意程序數(shù)量最多的10個C段IP地址為:

  表3 分發(fā)惡意程序數(shù)量最多的10個C段IP地址

  微信截圖_20210414151659.png

  按攻擊IoT設(shè)備的IP地址數(shù)量排序,排名前10的樣本為:

  表4 攻擊設(shè)備最多的10個樣本

  3.png

  6.最新在野漏洞利用情況

  DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)

  漏洞信息:

  8.png

  D-Link DIR-825是中國臺灣友訊(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在緩沖區(qū)錯誤漏洞,該漏洞源于web界面的緩沖區(qū)溢出,攻擊者可利用該漏洞在身份驗證前實現(xiàn)遠(yuǎn)程代碼執(zhí)行。

  在野利用POC:

 9.png

  參考資料:

  https://shaqed.github.io/dlink/

  https://www.anquanke.com/vul/id/2335033

  https://twitter.com/cvenew/status/1355255842782773250

  Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)

  漏洞信息:

  NETGEAR JGS516PE是美國網(wǎng)件(NETGEAR)公司的一款交換機(jī)。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,該漏洞源于設(shè)備在功能級別上受到缺少訪問控制。

  在野利用POC:

 10.png

  參考資料:

  https://f5.pm/go-61386.html

  https://www.anquanke.com/vul/id/2187757

  https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

  DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)

  漏洞信息:

  D-Link DNS-320是中國臺灣友訊(D-Link)公司的一款NAS(網(wǎng)絡(luò)附屬存儲)設(shè)備。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,該漏洞源于system_mgr.cgi組件中的命令注入影響,可能導(dǎo)致遠(yuǎn)程任意執(zhí)行代碼。

  在野利用POC:

 11.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。