近日,全國上下正處於抗擊疫情的關鍵時期,境外黑客組織卻聲稱對我國大量網路安全裝置及網站實施網路攻擊。綠盟威脅情報中心根據黑客發表的網路連結進行持續監測和分析,發現部分網站並未有被入侵的證據,但也有部分網站已無法訪問。綠盟威脅情報中心將此次被攻擊的行為和潛在安全隱患進行上報,並提醒相關政企單位採取措施。
一、攻擊目標1:物聯網裝置
不久前,境外黑客組織宣稱已掌握我國境內大量攝像頭控制許可權,並在Pastebin網站上公開了部分受控目標。綠盟威脅情報中心對黑客發表的物聯網裝置進行持續監控,並未發現實質性的攻擊。針對全國暴露在網際網路的視訊監控系統進行網路空間測繪後,綠盟威脅情報中心發現,全國有159萬視訊裝置暴露在網際網路上。
隨著近幾年物聯網的飛速發展,物聯網相關裝置的型別越來越多,物聯網裝置的廠商眾多、型別豐富、安全防禦措施少,逐漸成為黑客青睞的攻擊物件。藉此,綠盟君提醒廣大使用者關注自己的視訊裝置,及時進行資產梳理並採取相應的防禦措施。
綠盟科技提供基於威脅情報的網際網路資產核查服務,可輔助使用者對暴露在網際網路上的伺服器、網路裝置、視訊監控裝置進行資產識別和梳理。若非業務需要,請大家關閉不必要的網路服務和埠,尤其是可以遠端控制的埠。對所有的裝置初始密碼都要儘快更換,避免空口令或弱口令。對於聯網裝置的訪問控制介面,建議修改預設的管理埠。在網路出入口設定防火牆、入侵防禦系統等網路安全裝置,對不必要的境外通訊予以阻斷。另外,要與物聯網供應商建立聯動機制,及時關注相關產品漏洞公告,一旦發現漏洞,及時更新最新補丁及韌體。同時建立網路安全應急處置機制,啟用網路和執行日誌審計,及時發現攻擊風險,及時處理。最後,要做好資料備份,以備萬一。
二、攻擊目標2:政府、企業官網
境外黑客組織釋出的入侵物件中包括國內多個政府、企業官網。綠盟科技威脅情報中心對這些網站進行了持續的監測。經查驗發現,由於某著名汽車品牌官網的某個子目錄的配置錯誤,導致php檔案沒有被成功解析,從而可以直接看到原始碼。此次被入侵的後果直接導致了該品牌國內官網包括資料庫主機,賬號,密碼以及原始碼檔案在內的資訊被洩露。
針對政府、企業官網的防護,綠盟君建議可暫時阻斷外網防火牆上訪問,先對配置錯誤問題進行修復,之後進行漏洞掃描,確認問題徹底被修復後再進行放行。對於刪除DNS解析的網站,建議同時下線相關伺服器。對於已經下線的網站,務必做好安全檢查後再上線,否則會面臨被黑客再次入侵的風險。
三、攻擊目標3:Hadoop資料庫
此外,在黑客公開發表的攻擊目標中不乏國內多個網際網路巨頭和電信網站的Hadoop資料庫。綠盟威脅情報中心對允許非授權訪問的幾個連結進行了詳細分析,由於攻擊目標間無關聯性,綠盟君猜測黑客組織對暴露在網際網路的未進行嚴格安全配置的Hadoop服務進行了掃描探測和攻擊利用。
網路公司的Hadoop資料庫的防護,則需要特別注意。如果沒有業務需要,一定要關閉Hadoop Web管理頁面,並且要開啟Hadoop服務級別身份驗證,如Kerberos認證。同時,部署Knox、Nginx之類的反向代理系統,防止未經授權使用者訪問。設定“安全組”訪問控制策略,將Hadoop預設開放的多個埠對公網全部禁止或限制可信任的IP地址才能訪問50070以及WebUI等相關埠。
當前是我國防控疫情最為關鍵的時期,大量企業單位尚未復工或將重點工作放在防疫上,黑客利用我國部分政企單位網路安全戒備鬆懈的時期,對我國大量網站及資料庫實施攻擊,其居心叵測令人深思。但這也提醒我們,網路安全須時時保持警惕、刻刻不容忽視。面對以上攻擊威脅,綠盟科技除針對web端的WAF、websafe服務支援外,還提供多種方案協助使用者解決網際網路視訊裝置安全問題:
1、提供視訊安全態勢感知平臺,該平臺能夠主動識別網際網路暴露的資產,同時可以通過流量分析被動識別視訊監控裝置,形成視訊監控裝置資產畫像。通過大資料平臺能力,對網路安全狀況進行綜合分析與評估,對視訊監控裝置進行威脅檢測,異常行為分析,並進行威脅追蹤和攻擊溯源,全面掌握視訊監控裝置安全威脅態勢。
2、提供物聯網准入閘道器,對視訊監控裝置進行安全防護。能主動掃描攝像頭資產、監測對非法外聯行為、探測漏洞和弱口令。
3、提供物聯網韌體安全評估系統,通過分析視訊監控裝置的韌體,幫助企業快速發現視訊監控裝置中可能存在的漏洞,提供專業的安全分析能力,以避免因弱口令、溢位等漏洞引起裝置控制許可權的洩露,保障視訊監控裝置的安全性。