执行摘要
随着物联网的不断发展,物联网安全也越来越受到关注。自 2016 年下半年的 Mirai 僵尸网络攻击 事件之后,物联网相关的威胁层出不穷,多个在野漏洞被攻击者所利用,多个僵尸网络相继被研究人员 发现。今年,绿盟科技和国家互联网应急中心(CNCERT)联合发布了物联网安全年报,旨在让大家对 2020 年物联网相关的安全事件
、资产、脆弱性和威胁情况有一个全面的认识。报告中的主要内容如下:
第一章对 2020 年出现重大的安全事件进行回顾,其中,影响数亿设备的 Ripple20 漏洞和 CallStranger UPnP 漏洞曝光事件,说明无论协议设计还是产品实现,物联网设备一旦出现漏洞,影响 规模将非常广泛,后果严重;BadPower、特斯拉零件泄密等事件说明攻击者对于物联网的攻击目标绝 不存在固定的类型,只要有利可图、有漏洞可利用,就可能会成为目标;DHDisc
over 反射攻击和黑客 伪造新冠病毒页面传播恶意软件事件说明攻击者针对和利用物联网设备的攻击手段不断改变,安全团队 需时刻保持警惕。总之,物联网广泛应用、数量庞大、设备脆弱等特点注定了它会是很长一段时间内的 攻防重地,针对和利用物联网设备进行的攻击已非常活。对攻击者而言,其攻击目标和攻击手段并非 一成不变,攻击者总能推陈出新,紧跟时政;对研究团队而言,研究范围要广,不能思维僵化;对监管 方而言,合规性是必需,同时安全治理手段要与技术手段结合。总之,物联网安全仍需多方共同努力。第二章介绍了国内的物联网
资产识别方法和暴露情况,以及对物联网蜜罐进行分析。物联网资产暴 露情况一直是我们需要关注的问题,只有尽可能掌握物联网资产信息,在安全防护上才能做到量体裁衣。 然而,考虑到物联网的多样性、异构性和长尾性,识别所有物联网资产是非常困难的。本章出的人工 智能技术对物联网资产进行标记,可以高物联网资产识别的覆盖度。在此过程中,我们发现安全厂商 的物联网安全主动防御机制中,越来越多地部署了伪装成物联网设备的蜜罐,其数量也不容忽视,所以 本章还从资产的角度描绘的物联网蜜罐的分布情况以及如何识别物联网蜜罐,有助于甄别真实的物联网 资产。第三章主要对物联网脆弱性
进行分析。首先,我们分析了物联网相关的年度漏洞披露情况,2020 年 NVD平台公布的物联网相关漏洞具有攻击复杂度低、危害评级高的特点,且数量有望创历史新高。 之后,我们从公开站点获取、蜜网捕获和现网数据三个角度分别对物联网漏洞利用情况进行了分析,我 们共捕获到至少 100 余种针对物联网漏洞的利用行为,其中以远程命令执行类漏洞为主,已经捕获的漏洞利用所针对的目标物联网设备以路由器和视频监控设备为主,这也与互联网
上暴露的物联网设备主 要为路由器和视频监控设备一致,说明攻击者偏向于对暴露数量较多的设备进行攻击,从而扩大其影响 范围。第四章主要对物联网威胁性进行分析。我们利用现网数据对来自境外的攻击源进行了分析。所有的 攻击源数量中,美国占比最高,另外我们发现埃及于 7 月、印度于 9 月都存在异常的大量攻击数据,推 测其于相应月份都存在大规模安全事件。然后我们对物联网相关的恶意样本的分布情况进行分析,印度、 俄罗斯、巴西、美国、欧洲各国的样本下载服务器数量较多,主流的 MIPS 和 ARM架构受攻击数量占 很大比重,较早期的僵尸网络如 Mirai 和 Gafgyt,目前在全球范围内仍有较大影响力。最后,我们选择 了近期监控到的近 10 种物联网安全威胁进行分析,发现攻击者一直企图采取各种新型攻击手段去探测 并控制数量庞大的物联网设备,在不需要花费太多精力的情况下创建物联网僵尸网络,进而造成破坏。
总体来说,随着物联网的持续发展,新型问题不断出现,物联网安全形势愈发严,物联网安全防 护任重道远。
最后,我们有如下预测:
随着新基建的进一步推进,会有更多的新型物联网资产暴露在互联网上,这些资产的暴露,会对相 关的基础设施带来严重的安全威胁。相关方在进行新基建建设时,应谨慎考虑相关资产的暴露面。安全 相关企业可以关注新物联网资产的暴露情况,并推动相关暴露资产的治理。
物联网漏洞从出现 PoC 到被攻击者实际利用的间隔将进一步缩短,攻击者不只关注于一个漏洞是否 是高危远程命令执行类漏洞,还会关注存在这个漏洞的资产的真实暴露面。对于既是远程命令执行类漏 洞,又有大量存在该漏洞的资产的漏洞,应该引起足够的重视,必要时,政府相关部门、电信运营商、 安全公司等应多方联动治理,将威胁消弭于无形。
年重大物联网安全事件回顾
随着 5G、移动计算等新技术的发展,近年来各类物联网场景快速得到应用,然而,物联网设备数 量快速增长的同时,也意味着一旦出现漏洞,其影响范围难以想象。今年已有数个影响范围极大物联网 相关漏洞和攻击被公开,如 Ripple20 漏洞、CallStranger UPnP 漏洞以及蓝牙冒充攻击等,均影响数亿 物联网设备。
同时,物联网的特点就是万物互联,所以物联网安全也是一个宽泛的领域,BadPower 和特斯拉废 弃零件存在泄露隐患的事件也在不断扩大人们对于物联网安全的认知范围。
最后,对攻击者而言,其攻击手段并非一成不变,尤其在物联网安全上,安全团队需时刻保持警惕。 DHDiscover 反射攻击和黑客伪造新冠病毒页面传播恶意软件的事件,说明无论 DDoS 手法还是传播恶 意软件,攻击者都能推陈出新,紧跟时政。
本章列举了 2020 年影响较大的物联网安全事件。通过回顾相关的安全事件,读者可了解到当前的 物联网安全形势。
观点 1:2020 年曝光多个影响数亿物联网设备漏洞的安全事件,可用于发动大规模的互联网的攻击; 此外,多种涉及人们生活的物联网设备已成为攻击目标,物联网安全已经从网络安全( Security)转向 人身安全(Safety )。
Ripple day 漏洞曝光,扫荡数亿台联网设备
事件回顾
2020 年 6 月 16 日,以色列网络安全公司 JSOF 公开了 19 个严重影响 Treck TCP/IP 协议栈的 0day 漏洞(又名“Ripple20”)。全球数亿台 IoT 设备,小到家用打印机、摄像头,大到工业控制系统和楼 宇自动化设备,都面临被入侵的风险。这一漏洞涉及医疗、航空、运输、家用设备、企业、能源、电信、 零售等行业,众多世界 500 强的公司,如惠普,施耐德电气,英特尔等,都深受其害。目前 JSOF 已与 多家组织合作协调漏洞披露和修补工作,全部的技术细节公布在今年的 BlackHat USA 2020。
原理简述
前述 19 个漏洞中,有 4 个关键漏洞 CVSS(通用漏洞评分系统)评分超过 9 分,其他 15 个根据严 重程度不同,CVSS评分从 3.1 到 8.2 不等,可能会导致远程代码执行、敏感信息泄露,以及拒绝服务。 虽然它们原理和实现各有不同,但都源于使用不同协议网络上发送的数据包的处理错误问题。由于这些漏洞发生在较底层的 TCP / IP 堆栈中,大多发送的数据包与有效数据包非常相似,或者在某些情况下就 是完全有效的数据包,因而真实攻击流量可能会被判定为合法流量,从而绕过防火墙直接控制物联网设 备。更多解读可见绿盟科技研究通讯文章《注意 -受 Ripple20 影响的 Digi设备可被用于反射攻击》[1]。
事件分析
Treck TCP /IP 协议栈是专为嵌入式系统而设计的高性能协议栈,具有高性能、可伸缩和可配置的特 点,能轻松集成到任何环境中,广泛应用于各类物联网设备。多年来,Treck 公司相关设备制造商虽然 已修补了一些“Ripple20”漏洞,但这些漏洞具有多种变体,所以安全风险仍然很大。
新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备
事件回顾
ForAllSecure 软件公司的研究员 Guido Vranken 偶然间发现了一个基于 Linux 的开源操作系统 OpenWrt 的 RCE 漏洞,于 3 月 24 日在企业博客 [2]中发布了该漏洞的技术详情和 PoC(漏洞编号为 CVE-2020-7982)。值得一的是,该漏洞在 2017 年 2 月份就被引入代码,距今已有三年之久,在 今年年初才上报给 OpenWrt 开发团队。根据 OpenWrt 项目团队发布的信息,受影响版本是 18.06.0 至 18.06.6、19.07.0 以及 LEDE 17.01.0 至 17.01.7 版本。
原理简述
该漏洞存在于 OpenWrt 的 Opkg 包管理器中,由于包解析逻辑中的一个错误,包管理器忽略了嵌入 在签名存储库索引中的 SHA-256 检验和,从而有效地绕过了已下载 .ipk 工件的完整性检查,攻击者借 助 Opkg 本身的 root 权限以及特制的 .ipk 数据包,便可以注入任意恶意代码。
该漏洞利用的前是,攻击者需要给 Web 服务器供受损的软件包,并且拦截替换设备与 downloads.openwrt.org 之间的通信,或控制设备向 downloads.openwrt 发送的 DNS 查询。当在受害 者系统上调用“opkg install ”安装命令时,在没有任何验证情况下,远程攻击者便可以利用该漏洞拦 截目标设备的通信信息,欺骗用户安装恶意程序包或采用软件更新的方式来执行恶意代码,从而获取设
备的完全控制权。
研究报告漏洞后,OpenWrt 就移除了包列表中 SHA-256 检验和的空格,这一定程度上可以缓解对 用户带来的危险,但攻击者依然可以通过由 OpenWrt 维护者签名较旧的软件包列表进行相关操作。
事件分析
OpenWRT 是一个高度模块化,高度自动化的嵌入式 常常被用于工控设备、电话、小型机器人、智能家居、路由器以及 已被安装到全球上百万个物联网设备上。当这类严重 级官方发布的补丁,避免受到影响。
Linux系统,拥有强大的网络组件和扩展性, VoIP设备,据不完全统计,该系统
RCE漏洞曝光后,设备用户应该以最快的速度升
CallStranger UPnP 漏洞曝光,影响数十亿台设备
事件回顾
2020 年 6 月 8 日,安全专家披露了一个名为“Call Stranger”[1](漏洞编号为 CVE-2020-12695) 的新型 UPnP 漏洞,该漏洞影响数十亿台设备,已确认受影响的设备名单包括 Windows PC、Xbox One 以及华硕、贝尔金、博通、思科、戴尔、D-Link、华为、Netgear、三星、TP-Link、中兴等公司的电视 和网络设备。该漏洞可能会被远程、未经认证的攻击者滥用、进行反射 DDoS 攻击、绕过安全系统进行 内网渗透,以及内部端口扫描。
原理简述
UPnP(Universal Plug and Play,UPnP)是一种包含多个协议(如 SSDP、SOAP等)的网络协议簇, 它允许联网设备,如个人电脑、打印机、互联网网关、Wi-Fi接入点和移动设备无缝发现对方在网络上 的存在,并建立功能性网络服务,用于数据共享、通信和娱乐。
2020 年 4 月 17 日之前生效的 UPnP 协议簇,SUBSCRIBE函数中的 Callback 参数可以被攻击者控制, 向互联网上可访问的任意目的地发送大量数据,导致反射攻击、数据外泄和其他意外的网络行为,影响 暴露在互联网上的数百万设备和局域网内的数十亿设备,OCF(Open Connectivity Foundation)已经更 新了 UPnP 规范来解决该问题。
传统的 UDP类反射攻击通常利用传输层为 UDP、端口固定的服务(如 SSDP、NTP 等),但该漏 洞造成反射攻击的 UPnP SOAP 服务传输层为 TCP,且暴露在互联网中的 SOAP服务通常端口不固定, 一旦僵尸网络利用该漏洞进行反射攻击,将给防护带来一定的困难。
遗憾的是,该漏洞是一个协议漏洞,这意味着厂商可能需要很长时间才能发布安全补丁。为了缓解 该问题,厂商应在默认配置中禁用 UPnP SUBSCRIBE功能,并禁用暴露在互联网上设备的 UPnP 协议。
2804
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
