物联网安全威胁情报(2022年09月)
1总体概述
2物联网恶意程序样本及传播情况
本月共捕获物联网恶意样本311,518个,按恶意样本的家族统计情况如下图所示:
图2:僵尸家族恶意样本家族数量统计
本月监测发现恶意样本传播节点IP地址51,454个,其中位于境外的IP地址主要位于印度(85%),巴西(3%),玻利维亚(2%)国家/地区,地域分布如图3所示。
图3:境外恶意程序传播服务器IP地址国家/地区分布
其中传播恶意程序数量最多的10个C段IP地址及其区域位置如表1所示:
其中传播恶意最广的10个样本如表2所示:
表2:传播最广的ToP-10样本
3C&C控制服务器情况
图4:C&C服务器按照僵尸家族每日数量
图5:物联网僵尸网络c&c地址国家地区分布(ToP30)
表3:本月活跃的C&C地址列表
4感染节点情况
图6:僵尸网络受感染及节点IP数境内各省市分布情况
每日活跃情况统计如下:
图7:每日活跃被控端服务器总量
图8:感染节点IP线图类型统计
5主要僵尸网络情况
图9:活跃僵尸网络规模统计
图10:僵尸网络每日活跃情况统计
其中最活跃的前三个僵尸网络家族的感染控制节点分布如下所示。
图11:mirai世界分布
图12:hybridmq世界分布
图13:mozi世界分布
6整体攻击态势
图14:物联网漏洞攻击种类每日活跃图
图15:物联网漏动攻击次数每日活跃图
被利用最多的10个已知IoT漏洞分别为:
表4:被利用最多的10个已知IoT漏洞
7
本月值得关注的在野漏洞
1. Bitbucket Git命令注入漏洞(CVE-2022-36804)
漏洞信息:
Bitbucket是Atlassian公司提供的一个基于web的版本库托管服务(Shared web hosting service),支持Mercurial和Git版本控制系统。
Bitbucket服务器和数据中心在7.0.0至8.3.0的版本中存在安全漏洞,这种漏洞可以使得具有公共项目访问权限或私人项目可读权限的远程攻击者发送恶意HTTP请求来执行任意代码。
在野利用POC:
参考资料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36804
https://packetstormsecurity.com/files/168470/Bitbucket-Git-Command-Injection.html
2. Airspan AirSpot 5410 远程命令注入漏洞(CVE-2022-36267)
漏洞信息:
AirSpot 5410是一款高级的LTE,CAT12,户外,多服务产品,专门为满足住宅,商业和企业用户的数据需求而设计。
Airspan AirSpot 5410 0.3.4.1至4及以前版本存在安全漏洞,该漏洞使得攻击者可以利用经过base32编码的payload生成请求导致恶意脚本注入用户设置界面。
在野利用POC:
参考资料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36267
https://packetstormsecurity.com/files/168047/AirSpot-5410-0.3.4.1-4-Remote-Command-Injection.html
8
往期回顾