物联网安全威胁情报(2021年8月)
1总体概述
根据CNCERT监测数据,自2021年8月1日至31日,共监测到物联网(IoT)设备攻击行为1亿4294万次,捕获IoT恶意样本2577 个,发现IoT恶意程序传播IP地址31万9151个、威胁资产(IP地址)280万2957个,境内被攻击的设备地址达573万个。
2恶意程序传播情况
本月发现31万9151个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(77.6%)、巴西(8.4%)、俄罗斯(2.9%)、越南(2.4%)等国家/地区,地域分布如图1所示。
图1 境外恶意程序传播服务器IP地址国家/地区分布
在本月发现的恶意样本传播IP地址中,有13万8312个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
图2 历史及新增传播IP地址数量
3
攻击源分析
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现1亿4294万次物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
发起攻击次数最多的10个威胁资产(IP地址)是:
表2 本月发起攻击次数最多的10个IP地址
本月共发现280万2957个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(36.5%)、韩国(7.7%)、印度(6.6%)、法国(5.1%)等国家或地区,地域分布如图3所示。
图3 境外威胁资产的国家/地区分布(前30个)
境内威胁资产主要位于广东(17.5%)、河南(16.3%)、香港(14.2%)、湖南(6.1%)等行政区,地域分布如图4所示。
图4 境内威胁资产数量的省市分布
4被攻击情况
境内被攻击的IoT设备的IP地址有573万8443个,主要位于香港(22.8%)、北京(11.0%)、台湾(10.0%)、浙江(9.3%)等,地域分布如图5所示。
图5 境内被攻击的IoT设备IP地址的地域分布
5
样本情况
本月捕获IoT恶意程序样本2577个,恶意程序传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。
图6 恶意程序文件名分布(前20种)
按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。
图7 漏洞利用方式在恶意程序中的分布(前10种)
按样本数量统计,分发恶意程序数量最多的10个C段IP地址为:
表3 分发恶意程序数量最多的10个C段IP地址
按攻击IoT设备的IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本信息
监测到活跃的控制端主机(C&C服务器)IP地址1812 个,共与5万1563个有通联行为。按通联IP数量排序,排名前10的C&C地址为:
表5 通联节点最多的10个控制端主机(C&C服务器)IP地址
6最新在野漏洞利用情况
2021年8月,值得关注的物联网相关的在野漏洞利用如下:
Arcadyan Buffalo Routers Configuration File Injection(CVE-2021-20090/CVE-2021-20091)
漏洞信息:
8月3日,Tenable 公司的安全研究员披露一个已存在12年之久的路由器漏洞CVE-2021-20090,并警告称可能影响全球数百万台设备。CVE-2021-20090是路径遍历漏洞,会导致认证绕过。未授权的远程攻击者可绕过身份认证,接管设备。
最初,安全研究员Evan Grant在研究Buffalo公司的路由器时发现此漏洞。但很快,他发现其实根源在中国台湾Arcadyan公司生产的固件里。几乎每台 Arcadyan路由器/调制解调器,包括最早在2008年出售的设备,都存在此漏洞。因为软件供应链的关系,源于Arcadyan固件的这一漏洞,至少进入17家不同厂商的至少20个机型中。估计数百万台设备受影响,它们分布在11个国家,包括澳大利亚、德国、日本、墨西哥、新西兰、美国等。
Evan Grant还发现Buffalo生产的路由器中的另一个漏洞:配置文件注入漏洞CVE-2021-20091。受影响版本为:WSR-2533DHP3 firmware version <= 1.24和WSR-2533DHPL2 firmware version <= 1.02。它们中的apply_abstract.cgi未能正确处理用户输入,发送参数到设备的全局配置文件里。其中一项参数是ARC_SYS_TelnetdEnable=1,即可开启telnet。参数"ARC_SYS_="是执行的命令。
CVE-2021-20090和CVE-2021-20091联合起来使用,攻击者可获得telnet shell。更进一步,可以执行任意系统命令,如下载僵尸网络等恶意样本。
在野利用POC:
参考资料:
https://www.freebuf.com/news/283787.html
https://mp.weixin.qq.com/s/HMfmCL08Eu1XdCT870fc4A
https://zh-cn.tenable.com/security/research/tra-2021-13
https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2
RealtekSdk formWsc peerPin Command Injection(CVE-2021-35395)
漏洞信息:
近日,IOT INSPECTOR 公开了 Realtek SDK 多个高危漏洞,并公布了其漏洞细节。Realtek SDK是瑞昱(Realtek)公司的一套SDK开发包。未经身份验证的攻击者可以远程利用这些漏洞 完全破坏目标设备并以最高级别的权限执行任意代码。由于大多数嵌入式设备使用了Realtek SDK,至少有 65 家供应商会受到严重漏洞的影响。
由于某些超长参数的不安全副本以表单方式提交,HTTP Web 服务器‘boa’(go-ahead 已过时)容易受到多缓冲区溢出的影响。
在野利用POC:
参考资料:
https://nosec.org/home/detail/4822.html
https://mp.weixin.qq.com/s/Un6tVAMZgO3sP0cEQN0Hhg
https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/
7往期回顾