《2020物联网安全年报》:物联网漏洞成本低、收益高,极有可能被纳入“武器库”

绿盟科技与国家互联网应急中心(CNCERT)网络安全应急技术国家工程实验室联合发布《2020物联网安全年报》:截至2020年11月,NVD平台公布的物联网相关漏洞数量已达1541个,有望创历史新高。披露数量连年创新高的物联网漏洞,逐渐成为安全团队和攻击者博弈的新战场。

摘要:截至2020年11月,NVD平台公布的物联网相关漏洞数量已达1541个,有望创历史新高。披露数量连年创新高的物联网漏洞,逐渐成为安全团队和攻击者博弈的新战场。不久前,绿盟科技与国家互联网应急中心(CNCERT)网络安全应急技术国家工程实验室联合发布《2020物联网安全年报》,披露了2020年物联网安全情况。本文是该报告的解读篇,旨在从物联网漏洞披露统计、漏洞利用情况、漏洞利用分析三方面进行分析,以揭示物联网的脆弱性。

一、物联网漏洞披露统计

从漏洞披露数量来看,2020年1月至11月,NVD平台共披露漏洞12805个,其中物联网相关漏洞1541个,占比12.03%。2019年同期,NVD平台共披露漏洞7821个,其中物联网相关漏洞1105个,占比14.13%。截至2020年11月底,NVD平台上公布的物联网相关漏洞数量超过去年同期,有望创历史新高。

从攻击复杂度的角度分析,2020年1月至11月NVD披露的物联网相关漏洞,96%的漏洞攻击复杂度较低,说明物联网相关的漏洞利用难度较低,攻击者开发Exploit相对难度较低。

从漏洞CVSS 3评级的角度分析,2020年1月至11月NVD公布的物联网相关漏洞的漏级占比分别为严重占比16%,高危占比40%,中危占比42%,低危占比2%,可见物联网相关的漏洞通常危害较为严重。


二、物联网漏洞利用情况

2.1  攻击者对Exploit-DB平台的利用分析

事实上,不仅安全厂商关注Exploit-DB新公开的物联网漏洞,攻击者同样非常关注新出现的漏洞利用且跟进速度快。2020年1月至10月,在Exploit-DB披露的69个物联网相关漏洞利用中,有12个被绿盟科技威胁捕获系统捕获,占比约17.39%,漏洞披露日期、首次捕获日期以及间隔天数如下表所示。从Exploit-DB披露漏洞利用到被攻击者首次利用,最短仅需一天,最长仅有22天。

《2020物联网安全年报》:物联网漏洞成本低、收益高,极有可能被纳入“武器库”

攻击者利用Exploit-DB物联网相关漏洞的时间间隔

2.2  物联网漏洞利用分析

二层或三层网络设备是遭受攻击的重灾区,尤其是路由器、摄像头。通过绿盟科技威胁捕获系统,我们共捕获到上百种物联网漏洞的利用行为,攻击者漏洞利用的主要目标设备类型同样是路由器和摄像头,占比80%以上。除此之外,网络存储设备和网络电话设备也逐渐成为被利用对象。

《2020物联网安全年报》:物联网漏洞成本低、收益高,极有可能被纳入“武器库”

受攻击的物联网设备类型分布

(数据来源:CNCERT物联网威胁情报平台)

从攻击者利用的漏洞来看,攻击者使用数量排名前10的漏洞,仍以路由器、摄像头为主。其中,排名第一的是针对使用Realtek SDK中的设备,由未经身份认证和操作系统命令注入造成的RCE漏洞;排名第二的是针对大白鲨摄像头设备的漏洞利用;排名第三的是针对网件DGN1000设备的管理页面漏洞利用。被攻击者大量利用的漏洞中,其目标设备多半属于二层、三层网络设备,例如交换机与路由器,其次是各类摄像头。

《2020物联网安全年报》:物联网漏洞成本低、收益高,极有可能被纳入“武器库”

攻击者利用最多的物联网漏洞Top10

(数据来源:CNCERT物联网威胁情报平台)

三、总结

从物联网相关漏洞本身来看,具有披露数量逐年上升、漏洞利用难度低且CVSS 3评级严重的特点,因此对攻击者而言物联网漏洞是一种成本低、收益高的攻击手段,极有可能被其纳入其“武器库”。

从物联网漏洞的利用情况来看,除关注NVD披露的物联网相关漏洞外,攻击者同样非常关注Exploit-DB漏洞利用平台新出现的漏洞利用,且对部分漏洞利用跟进速度非常快。

攻击者正不断刷新漏洞披露到漏洞利用的时间间隔,这就要求研究团队和监管机构不仅不能忽视物联网漏洞,而且要注重时效性,将安全防护前置,尽量做到防患于未然。

下载报告

http://blog.nsfocus.net/wp-content/uploads/2021/01/2020-IoT-Security-Annual-Report.pdf 

<!-- 多条广告如下脚本只需引入一次 -->

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/525.html

发表评论

登录后才能评论
跳至工具栏