官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
截至2020年11月,NVD平台公布的物联网相关漏洞数量已达1541个,有望创历史新高。披露数量连年创新高的物联网漏洞,逐渐成为安全团队和攻击者博弈的新战场。
不久前,绿盟科技与国家互联网应急中心(CNCERT)网络安全应急技术国家工程实验室联合发布《2020物联网安全年报》,披露了2020年物联网安全情况。本文是该报告的解读篇,旨在从物联网漏洞披露统计、漏洞利用情况、漏洞利用分析三方面进行分析,以揭示物联网的脆弱性。
一、物联网漏洞披露统计
从漏洞披露数量来看,2020年1月至11月,NVD平台共披露漏洞12805个,其中物联网相关漏洞1541个,占比12.03%。2019年同期,NVD平台共披露漏洞7821个,其中物联网相关漏洞1105个,占比14.13%。截至2020年11月底,NVD平台上公布的物联网相关漏洞数量超过去年同期,有望创历史新高。
从攻击复杂度的角度分析,2020年1月至11月NVD披露的物联网相关漏洞,96%的漏洞攻击复杂度较低,说明物联网相关的漏洞利用难度较低,攻击者开发Exploit相对难度较低。
从漏洞CVSS 3评级的角度分析,2020年1月至11月NVD公布的物联网相关漏洞的漏级占比分别为严重占比16%,高危占比40%,中危占比42%,低危占比2%,可见物联网相关的漏洞通常危害较为严重。
二、物联网漏洞利用情况
2.1攻击者对Exploit-DB平台的利用分析
事实上,不仅安全厂商关注Exploit-DB新公开的物联网漏洞,攻击者同样非常关注新出现的漏洞利用且跟进速度快。2020年1月至10月,在Exploit-DB披露的69个物联网相关漏洞利用中,有12个被绿盟科技威胁捕获系统捕获,占比约17.39%,漏洞披露日期、首次捕获日期以及间隔天数如下表所示。从Exploit-DB披露漏洞利用到被攻击者首次利用,最短仅需一天,最长仅有22天。
攻击者利用Exploit-DB物联网相关漏洞的时间间隔
2.2物联网漏洞利用分析
二层或三层网络设备是遭受攻击的重灾区,尤其是路由器、摄像头。通过绿盟科技威胁捕获系统,我们共捕获到上百种物联网漏洞的利用行为,攻击者漏洞利用的主要目标设备类型同样是路由器和摄像头,占比80%以上。除此之外,网络存储设备和网络电话设备也逐渐成为被利用对象。
受攻击的物联网设备类型分布(数据来源:CNCERT物联网威胁情报平台)
从攻击者利用的漏洞来看,攻击者使用数量排名前10的漏洞,仍以路由器、摄像头为主。其中,排名第一的是针对使用Realtek SDK中的设备,由未经身份认证和操作系统命令注入造成的RCE漏洞;排名第二的是针对大白鲨摄像头设备的漏洞利用;排名第三的是针对网件DGN1000设备的管理页面漏洞利用。被攻击者大量利用的漏洞中,其目标设备多半属于二层、三层网络设备,例如交换机与路由器,其次是各类摄像头。
攻击者利用最多的物联网漏洞Top10(数据来源:CNCERT物联网威胁情报平台)
三、总结
从物联网相关漏洞本身来看,具有披露数量逐年上升、漏洞利用难度低且CVSS 3评级严重的特点,因此对攻击者而言物联网漏洞是一种成本低、收益高的攻击手段,极有可能被其纳入其“武器库”。
从物联网漏洞的利用情况来看,除关注NVD披露的物联网相关漏洞外,攻击者同样非常关注Exploit-DB漏洞利用平台新出现的漏洞利用,且对部分漏洞利用跟进速度非常快。
攻击者正不断刷新漏洞披露到漏洞利用的时间间隔,这就要求研究团队和监管机构不仅不能忽视物联网漏洞,而且要注重时效性,将安全防护前置,尽量做到防患于未然。