物联网安全威胁情报（2021年5月）

根据CNCERT监测数据，自2021年5月1日至31日，共监测到物联网（IoT）设备攻击行为16亿7430万次，捕获IoT恶意样本3825个，发现IoT恶意程序传播IP地址27万5066个、威胁资产（IP地址）180万余个，境内被攻击的设备地址达1055万个。

本月发现27万5066个IoT恶意程序传播地址，位于境外的IP地址主要位于美国（23.8%）、印度（6.4%）、俄罗斯（4.8%）、日本（4.8%）等国家/地区，地域分布如图1所示。

图1 境外恶意程序传播服务器IP地址国家/地区分布

在本月发现的恶意样本传播IP地址中，有16万1707个为新增，其余在往期监测月份中也有发现。往前追溯半年，按监测月份排列，历史及新增IP分布如图2所示。

图2 历史及新增传播IP地址数量

黑客采用密码爆破和漏洞利用的方式进行攻击，根据监测情况，共发现16亿7430万个物联网相关的漏洞利用行为，被利用最多的10个已知IoT漏洞分别是：

表1 本月被利用最多的10个已知IoT漏洞（按攻击次数统计）

发起攻击次数最多的10个威胁资产（IP地址）是：

表2 本月发起攻击次数最多的10个IP地址

本月共发现180万5061个IoT设备威胁资产（IP地址），其中，绝大多数资产向网络中的其他设备发起攻击，一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国（36.68%）、印度（6.6%）、加拿大（3.5%）、巴西（3.16%）等国家或地区，地域分布如图3所示。

图3 境外威胁资产的国家/地区分布（前30个）

境内威胁资产主要位于河南（25.73%）、广东（19.25%）、香港（14.14%）、台湾（8.49%）等行政区，地域分布如图4所示。

图4 境内威胁资产数量的省市分布

境内被攻击的IoT设备的IP地址有1055万5374个，主要位于香港（26.9%）、台湾（15.8%）、北京（11.1%）、广东（8.2%）等，地域分布如图5所示。

图6 恶意程序文件名分布（前30种）

按样本数量统计，漏洞利用方式在恶意程序中的分布如图7所示。

按样本数量统计，分发恶意程序数量最多的10个C段IP地址为：

表3 分发恶意程序数量最多的10个C段IP地址

按攻击IoT设备的IP地址数量排序，排名前10的样本为：

表4 攻击设备最多的10个样本信息

2021年5月，值得关注的物联网相关的在野漏洞利用如下：

漏洞名称：

威联通设备RoonServer权限绕过漏洞（CVE-2021-28810）、命令注入漏洞（CVE-2021-28811）

漏洞背景：

威联通科技，简称威联通，英语译名暨品牌名称为QNAP，为一间总部位于中国台湾的科技公司。其产品包括网络附加存储设备、视频监控录像设备、网络交换机、无线路由器、无线/有线网卡和视频会议设备等。

2021年5月9日，根据CNCERT物联网威胁情报数据平台的监测线索，启明星辰金睛安全研究团队联合CNCERT物联网安全研究团队发现2项零日漏洞的在野利用行为。经确认，这2项零日漏洞均存在于威联通（QNAP）产品的RoonServer应用中，分别是权限认证漏洞与命令注入漏洞，攻击者可以将这2个漏洞组合起来使用，以达到未授权远程执行任意命令的目的。

详情见公众号于本月11日发布的报告《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》

https://mp.weixin.qq.com/s/xfT3LkYNlzFYJdG1z0c7ug

转载请注明来源：关键基础设施安全应急响应中心