引言
观点 4:截至 2020 年 11 月,NVD 平台公布的物联网
相关漏洞数量已达 1541 个,有望创历史新高。 总体而言,相关漏洞具有攻击复杂度低、危害评级高的特点。从我们观察到的漏洞利用捕获情况,攻击 者在漏洞利用披露后很快就将其纳入武器库。如知名漏洞利用平台 Exploit-DB中约 17.39% 的物联网相 关漏洞被攻击者利用,且从披露到首次在野利用最短仅需 1 天。可见,物联网漏洞利用是一种成本低、 收益高的攻击手段,且攻击者十分关注物联网漏洞利用,且对部分漏洞利用跟进速度极快。本章将对物联网脆弱性
进行分析。首先,我们分析了物联网相关漏洞的各个年度的披露情况;之后, 我们从公开站点获取、蜜网捕获和现网数据三个角度分别对物联网漏洞利用情况进行了分析,以期使读 者对物联网漏洞及其利用情况有一个全面的了解。### 物联网漏洞披露统计
为观察历年披露的物联网相关漏洞数量变化趋势,我们统计了 2002 年至 2020 年 10 月,NVD 平台 [13]公布的漏洞总量以及物联网漏洞数量变化情况,如图 3.1 所示。可以看出漏洞总量呈一定的上升趋势, 但针对物联网设备的漏洞,没有明显的增长趋势,维持在每年 2000 个漏洞的范围之内(2020 年由于 仅统计了前 10 个月的数据,故数量偏少)。另外从物联网漏洞占漏洞总量的百分比来看,除 2006 年 和 2007 年外,物联网漏洞数量通常占漏洞总量的 10%-15%,没有明显变化趋势。
图 3.1 2002 年至 2020 NVD漏洞数量变化趋势
2020 年 1 月至 11 月,NVD 平台共披露漏洞 12805 个,其中物联网相关漏洞 1541 个,占比 12.03%。2019 年同期,NVD平台共披露漏洞 7821 个,其中物联网相关漏洞 1105 个,占比 14.13%。 截至 2020 年 11 月底,NVD 平台上公布的物联网相关漏洞数量超过去年同期,有望创历史新高。
从攻击复杂度的角度分析,2020 年 1 月至 11 月 NVD披露的物联网相关漏洞攻击复杂度分布如图 3.2 所示。96% 的漏洞攻击复杂度较低,说明物联网相关的漏洞利用难度较低,攻击者开发 Exploit 相对难 度较低。
图 3.2 2020 年 1 月至 11 月 NVD物联网相关漏洞攻击复杂度分布
从漏洞 CVSS 3评级的角度分析,2020 年 1 月至 11 月 NVD公布的物联网相关漏洞评级分布如图 3.3 所示。漏洞评级的占比分别为严重占比 16%,高危占比 40%,中危占比 42%,低危占比 2%,可见物联 网相关的漏洞通常危害较为严重。
图 3.3 2020 年 1 月至 11 月 NVD物联网相关漏洞 CVSS 3 评级分布
物联网相关漏洞,攻击复杂度低,危害评级高,对攻击者而言攻击成本低,收益高,极有可能被用 作感染僵尸主机使用;而对防守者而言,则面临巨大的挑战。
物联网漏洞的利用情况
攻击者对 Exploit-DB平台的利用分析
2020 年 1 月至 10 月,知名漏洞利用平台 Exploit-DB共披露了物联网相关漏洞 69 个,漏洞类型分 布
事实上,不仅安全厂商关注 Exploit-DB新公开的物联网漏洞,攻击者同样非常关注新出现的漏洞利用,
且对部分漏洞利用跟进速度非常快。
2020 年 1 月至十月,在 Exploit-DB披露的 69 个物联网相关漏洞利用中,有 12 个被绿盟威胁捕获 系统捕获到被攻击者利用,占比约 17.39%,漏洞披露日期、首次捕获日期以及间隔天数如表 3.1 所示。 从 Exploit-DB披露漏洞利用到被攻击者首次利用,最短仅需一天,最长仅有 22 天。
表 3.1 攻击者利用 Exploit-DB物联网相关漏洞的时间间隔
Exploit-DB编号 | 披露日期 | 首次捕获日期 | 日期间隔(天) |
---|---|---|---|
48365 | 2020/4/22 | 2020/4/23 | 1 |
48225 | 2020/3/18 | 2020/3/19 | 1 |
48077 | 2020/2/17 | 2020/8/19 | 2 |
48271 | 2020/3/31 | 2020/4/2 | 2 |
48268 | 2020/3/30 | 2020/4/1 | 2 |
48318 | 2020/4/14 | 2020/4/19 | 5 |
48247 | 2020/3/24 | 2020/3/30 | 6 |
47835 | 2020/1/1 | 2020/4/8 | 7 |
48107 | 2020/2/24 | 2020/3/5 | 10 |
48247 | 2020/3/24 | 2020/4/7 | 14 |
47961 | 2020/1/24 | 2020/3/10 | 15 |
48310 | 2020/4/13 | 2020/5/5 | 22 |
物联网漏洞利用分析
在本小节中,我们借助 CNCERT物联网威胁情报平台和绿盟威胁捕获系统的监测数据
来分析物联网 相关漏洞的利用情况。根据监测数据,共发现针对物联网设备发起的攻击行为 57 亿次,日均 1800 万余次。全年物联网 漏洞利用攻击趋势如图 3.5 所示,其中 3 月份的漏洞利用攻击次数将近 7.9 亿,5 月份的漏洞利用攻击 次数达到了峰值,高达 9.4 亿次。6、7、8 月的攻击数量持续走低,之后的 9、10 月虽然有小幅度的 升,但仍维持在一个中等水平。
图 3.5 2020 年物联网漏洞利用攻击趋势(数据来源:CNCERT 物联网威胁情报平台)
我们针对已知的漏洞利用攻击进行了分析,一些常见漏洞利用每个月的攻击趋势如图 3.6 所示,针 对使用 Realtek SDK 的 miniigd SOAP 服务的设备在 2 月到 6 月之间的漏洞利用攻击数最多,峰值在 5 月份,高达 5.4 亿次,这个数值是同月份漏洞利用攻击次数第二高的漏洞的 5 倍。在 2 到 6 月份之间, 上述漏洞利用攻击始终呈现较活的态势,而在 7 月份,Realtek_SDK_Miniigd_Upnp 的漏洞利用攻击 数量突降到 20 万次左右,6 月到 7 月攻击数量非常反常地大幅下降,可能是这段时间瑞昱(Realtek) 着手修复这一问题,并且大量使用 miniigd SOAP 服务的设备得到了厂商的最新安全更新。其它几类常 见漏洞利用攻击的数量变动幅度不大,总体维持在一个平稳的水平。
对漏洞利用针对的设备类型进行分析,可以得到受攻击的物联网设备类型占比。如图 3.7 所示,其 中排名第一的是路由器,设备数量占到了总量的 60% 以上,与以往僵尸网络相似,受到的攻击数最多 的设备仍然是二层或三层网络设备。排名第二的是摄像头设备,占比超过四分之一,其中包含各类网络 摄像头,剩下数量占比 10% 左右的设备包含了网关、门禁、屏幕和流媒体处理服务器等。
通过绿盟威胁捕获系统,我们共捕获到上百种物联网漏洞的利用行为,攻击者漏洞利用的主要目标 设备类型同样是路由器和摄像头,占比 80% 以上,除此之外,网络存储设备和网络电话设备也逐渐成 为被利用对象。
可见,攻击者往往会关注路由器和摄像头的漏洞及其利用,原因是互联网上暴露的物联网设备主要 是路由器和摄像头设备,并且各类路由器和各类摄像头设备具有一定共性,攻击难度较小、广度较大。 而其他暴露的物联网设备与路由器、摄像头不同,具有较高的特异性,僵尸网络为了高特异性的设备更 新攻击载荷可能无法带来更高的成效,得不偿失。
图 3.8 展示了这上百种物联网漏洞利用类型的分布情况,其中远程代码执行类漏洞居多,占比约 70%。值得一的是,虽然权类漏洞与信息泄露类漏洞占比相同,但是相关攻击源数量前者是后者的 两倍之多。
表 3.2 是统计得到的攻击者使用数量前 10 的漏洞列表。其中排名第一的是针对使用 Realtek SDK 中 的设备,由未经身份认证和操作系统命令注入造成 RCE漏洞;排名第二的是针对大白鲨摄像头设备的 漏洞利用;排名第三的是针对网件 DGN1000 设备的管理页面漏洞利用。从图 3.6 中也可以看出被攻击 者大量利用的漏洞,其目标设备多半属于二层、三层网络设备,例如交换机与路由器,其次是各类摄像头。
表 3.2 攻击者利用最多的物联网漏洞 Top10(来源:CNCERT 物联网威胁情报平台)
公开年份 | Exploit-DB | CVE | 漏洞目标 |
---|---|---|---|
2015 | 37169 | 2014-8361 | Realtek_SDK_Miniigd_UPnP |
N/A | N/A | N/A | JAWS_DVR |
2017 | 43055 | N/A | Netgear_DGN1000 |
2014 | 37169 | 2017-17215 | Huawei_Router_HG532 |
2019 | 46150 | N/A | ThinkPHP |
2012 | 20113 | 2012-2953 | Symantec_Web_Gateway |
2015 | 37171 | 2015-2051 | DLink_HNAP |
2014 | 31683 | N/A | Linksys_Eseries |
2017 | 44003 | N/A | Vacron_NVR |
2018 | 44576 | 2018-10561 | Gpon_Router |
除上述漏洞外,绿盟威胁捕获系统还捕获到另外两个被利用较多的漏洞,针对 MVPower 数字 录像机的远程代码执行漏洞(EDB-ID:41471)和针对 AVTECH摄像头设备的系列漏洞(EDB-ID: 40500),这两个漏洞的相关 PoC 已经公开且攻击载荷构造非常简单,因此得到了攻击者的青睐。