物联网安全威胁情报(2020年8月)
1总体概述
根据CNCERT监测数据,自2020年8月1日至31日,共监测到物联网(IoT)设备恶意样本12444个,发现样本传播服务器IP地址36770个,境内被攻击的设备地址达501万个。
2传播IP情况
在本月发现的恶意样本传播IP地址中,有25107个为新增,11663个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
表2 攻击设备最多的10个恶意程序传播服务器IP地址
除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共24380个(其中Hajime有13142个,Mozi有11238个)。
3被攻击IP情况
境内被攻击IoT设备地址分布,其中,浙江占比最高,为18.4%,其次是台湾(15.4%)、北京(13.7%)、香港(9.6%)等,如图3所示。
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现2亿1589万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
4样本情况
对监测到的12444个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种,样本家族分布如图4所示。
样本传播时常用的文件名有mips、loligang、sparc等,按样本数量统计如图5所示。
表4 攻击设备最多的10个样本信息
5最新在野漏洞利用情况
2020年8月,值得关注的物联网相关的在野漏洞利用如下:
CVE-2020-10987
漏洞信息:
腾达(Tenda) AC 系列是由腾达发布的针对家庭用户的无线路由器,市场占用率比较高,为综合类别较全的家庭无线路由器。Tenda AC15 AC1900 15.03.05.19版本中goform/setUsbUnload端点存在安全漏洞。远程攻击者可借助‘deviceName’ POST参数利用该漏洞执行任意系统命令。
捕获的在野利用POC:
参考资料:
http://www.webray.com.cn/skippath/abce1e/abce1e_1265.html
https://blog.securityevaluators.com/tenda-ac1900-vulnerabilities-discovered-and-exploited-e8e26aa0bc68
https://nvd.nist.gov/vuln/detail/CVE-2020-10987
CVE-2020-10173
漏洞信息:
Comtrend VR-3033是康全电讯(Comtrend)公司的一款无线路由器。使用DE11-416SSG-C01_R02.A2pvI042j1.d26m版本固件的ComtrendVR-3033中存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。
捕获的在野利用POC:
参考资料:
https://www.exploit-db.com/exploits/48142
https://nvd.nist.gov/vuln/detail/CVE-2020-10173
https://research-labs.net/search/exploits/comtrend-vr-3033-command-injection
6往期回顾