摘要:截至2020年11月,NVD平臺公佈的物聯網相關漏洞數量已達1541個,有望創歷史新高。披露數量連年創新高的物聯網漏洞,逐漸成為安全團隊和攻擊者博弈的新戰場。不久前,綠盟科技與國家網際網路應急中心(CNCERT)網路安全應急技術國家工程實驗室聯合釋出《2020物聯網安全年報》,披露了2020年物聯網安全情況。本文是該報告的解讀篇,旨在從物聯網漏洞披露統計、漏洞利用情況、漏洞利用分析三方面進行分析,以揭示物聯網的脆弱性。
一、物聯網漏洞披露統計
從漏洞披露數量來看,2020年1月至11月,NVD平臺共披露漏洞12805個,其中物聯網相關漏洞1541個,佔比12.03%。2019年同期,NVD平臺共披露漏洞7821個,其中物聯網相關漏洞1105個,佔比14.13%。截至2020年11月底,NVD平臺上公佈的物聯網相關漏洞數量超過去年同期,有望創歷史新高。
從攻擊複雜度的角度分析,2020年1月至11月NVD披露的物聯網相關漏洞,96%的漏洞攻擊複雜度較低,說明物聯網相關的漏洞利用難度較低,攻擊者開發Exploit相對難度較低。
從漏洞CVSS 3評級的角度分析,2020年1月至11月NVD公佈的物聯網相關漏洞的漏級佔比分別為嚴重佔比16%,高危佔比40%,中危佔比42%,低危佔比2%,可見物聯網相關的漏洞通常危害較為嚴重。
二、物聯網漏洞利用情況
2.1攻擊者對Exploit-DB平臺的利用分析
事實上,不僅安全廠商關注Exploit-DB新公開的物聯網漏洞,攻擊者同樣非常關注新出現的漏洞利用且跟進速度快。2020年1月至10月,在Exploit-DB披露的69個物聯網相關漏洞利用中,有12個被綠盟科技威脅捕獲系統捕獲,佔比約17.39%,漏洞披露日期、首次捕獲日期以及間隔天數如下表所示。從Exploit-DB披露漏洞利用到被攻擊者首次利用,最短僅需一天,最長僅有22天。
攻擊者利用Exploit-DB物聯網相關漏洞的時間間隔
2.2物聯網漏洞利用分析
二層或三層網路裝置是遭受攻擊的重災區,尤其是路由器、攝像頭。透過綠盟科技威脅捕獲系統,我們共捕獲到上百種物聯網漏洞的利用行為,攻擊者漏洞利用的主要目標裝置型別同樣是路由器和攝像頭,佔比80%以上。除此之外,網路儲存裝置和網路電話裝置也逐漸成為被利用物件。
受攻擊的物聯網裝置型別分佈(資料來源:CNCERT物聯網威脅情報平臺)
從攻擊者利用的漏洞來看,攻擊者使用數量排名前10的漏洞,仍以路由器、攝像頭為主。其中,排名第一的是針對使用Realtek SDK中的裝置,由未經身份認證和作業系統命令注入造成的RCE漏洞;排名第二的是針對大白鯊攝像頭裝置的漏洞利用;排名第三的是針對網件DGN1000裝置的管理頁面漏洞利用。被攻擊者大量利用的漏洞中,其目標裝置多半屬於二層、三層網路裝置,例如交換機與路由器,其次是各類攝像頭。
攻擊者利用最多的物聯網漏洞Top10(資料來源:CNCERT物聯網威脅情報平臺)
三、總結
從物聯網相關漏洞本身來看,具有披露數量逐年上升、漏洞利用難度低且CVSS 3評級嚴重的特點,因此對攻擊者而言物聯網漏洞是一種成本低、收益高的攻擊手段,極有可能被其納入其“武器庫”。
從物聯網漏洞的利用情況來看,除關注NVD披露的物聯網相關漏洞外,攻擊者同樣非常關注Exploit-DB漏洞利用平臺新出現的漏洞利用,且對部分漏洞利用跟進速度非常快。
攻擊者正不斷重新整理漏洞披露到漏洞利用的時間間隔,這就要求研究團隊和監管機構不僅不能忽視物聯網漏洞,而且要注重時效性,將安全防護前置,儘量做到防患於未然。