攻击者对 Exploit-DB平台的利用分析
引言
**观点 4:截至 2020 年 11 月,NVD 平台公布的物联网
相关漏洞数量已达 1541 个,有望创历史新高。 总体而言,相关漏洞具有攻击复杂度低、危害评级高的特点。从我们观察到的漏洞利用捕获情况,攻击 者在漏洞利用披露后很快就将其纳入武器库。如知名漏洞利用平台 Exploit-DB中约 17.39% 的物联网相 关漏洞被攻击者利用,且从披露到首次在野利用最短仅需 1 天。可见,物联网漏洞利用是一种成本低、 收益高的攻击手段,且攻击者十分关注物联网漏洞利用,且对部分漏洞利用跟进速度极快。**本章将对物联网脆弱性
进行分析。首先,我们分析了物联网相关漏洞的各个年度的披露情况;之后, 我们从公开站点获取、蜜网捕获和现网数据三个角度分别对物联网漏洞利用情况进行了分析,以期使读 者对物联网漏洞及其利用情况有一个全面的了解。### 物联网漏洞披露统计
为观察历年披露的物联网相关漏洞数量变化趋势,我们统计了 2002 年至 2020 年 10 月,NVD 平台 [13]公布的漏洞总量以及物联网漏洞数量变化情况,如图 3.1 所示。可以看出漏洞总量呈一定的上升趋势, 但针对物联网设备的漏洞,没有明显的增长趋势,维持在每年 2000 个漏洞的范围之内(2020 年由于 仅统计了前 10 个月的数据,故数量偏少)。另外从物联网漏洞占漏洞总量的百分比来看,除 2006 年 和 2007 年外,物联网漏洞数量通常占漏洞总量的 10%-15%,没有明显变化趋势。
图 3.1 2002 年至 2020 NVD漏洞数量变化趋势
2020 年 1 月至 11 月,NVD 平台共披露漏洞 12805 个,其中物联网相关漏洞 1541 个,占比 12.03%。2019 年同期,NVD平台共披露漏洞 7821 个,其中物联网相关漏洞 1105 个,占比 14.13%。 截至 2020 年 11 月底,NVD 平台上公布的物联网相关漏洞数量超过去年同期,有望创历史新高。
从攻击复杂度的角度分析,2020 年 1 月至 11 月 NVD披露的物联网相关漏洞攻击复杂度分布如图 3.2 所示。96% 的漏洞攻击复杂度较低,说明物联网相关的漏洞利用难度较低,攻击者开发 Exploit 相对难 度较低。
图 3.2 2020 年 1 月至 11 月 NVD物联网相关漏洞攻击复杂度分布
从漏洞 CVSS 3评级的角度分析,2020 年 1 月至 11 月 NVD公布的物联网相关漏洞评级分布如图 3.3 所示。漏洞评级的占比分别为严重占比 16%,高危占比 40%,中危占比 42%,低危占比 2%,可见物联 网相关的漏洞通常危害较为严重。
图 3.3 2020 年 1 月至 11 月 NVD物联网相关漏洞 CVSS 3 评级分布
物联网相关漏洞,攻击复杂度低,危害评级高,对攻击者而言攻击成本低,收益高,极有可能被用 作感染僵尸主机使用;而对防守者而言,则面临巨大的挑战。
物联网漏洞的利用情况
攻击者对 Exploit-DB平台的利用分析
2020 年 1 月至 10 月,知名漏洞利用平台 Exploit-DB共披露了物联网相关漏洞 69 个,漏洞类型分 布
事实上,不仅安全厂商关注 Exploit-DB新公开的物联网漏洞,攻击者同样非常关注新出现的漏洞利用,
且对部分漏洞利用跟进速度非常快。
2020 年 1 月至十月,在 Exploit-DB披露的 69 个物联网相关漏洞利用中,有 12 个被绿盟威胁捕获 系统捕获到被攻击者利用,占比约 17.39%,漏洞披露日期、首次捕获日期以及间隔天数如表 3.1 所示。 从 Exploit-DB披露漏洞利用到被攻击者首次利用,最短仅需一天,最长仅有 22 天。
表 3.1 攻击者利用 Exploit-DB物联网相关漏洞的时间间隔
Exploit-DB编号 | 披露日期 | 首次捕获日期 | 日期间隔(天) |
---|---|---|---|
48365 | 2020/4/22 | 2020/4/23 | 1 |
48225 | 2020/3/18 | 2020/3/19 | 1 |
48077 | 2020/2/17 | 2020/8/19 | 2 |
48271 | 2020/3/31 | 2020/4/2 | 2 |
48268 | 2020/3/30 | 2020/4/1 | 2 |
48318 | 2020/4/14 | 2020/4/19 | 5 |
48247 | 2020/3/24 | 2020/3/30 | 6 |
47835 | 2020/1/1 | 2020/4/8 | 7 |
48107 | 2020/2/24 | 2020/3/5 | 10 |
48247 | 2020/3/24 | 2020/4/7 | 14 |
47961 | 2020/1/24 | 2020/3/10 | 15 |
48310 | 2020/4/13 | 2020/5/5 | 22 |
物联网漏洞利用分析
在本小节中,我们借助 CNCERT物联网威胁情报平台和绿盟威胁捕获系统的监测数据
来分析物联网 相关漏洞的利用情况。根据监测数据,共发现针对物联网设备发起的攻击行为 57 亿次,日均 1800 万余次。全年物联网 漏洞利用攻击趋势如图 3.5 所示,其中 3 月份的漏洞利用攻击次数将近 7.9 亿,5 月份的漏洞利用攻击 次数达到了峰值,高达 9.4 亿次。6、7、8 月的攻击数量持续走低,之后的 9、10 月虽然有小幅度的 升,但仍维持在一个中等水平。
图 3.5 2020 年物联网漏洞利用攻击趋势(数据来源:CNCERT 物联网威胁情报平台)
我们针对已知的漏洞利用攻击进行了分析,一些常见漏洞利用每个月的攻击趋势如图 3.6 所示,针 对使用 Realtek SDK 的 miniigd SOAP 服务的设备在 2 月到 6 月之间的漏洞利用攻击数最多,峰值在 5 月份,高达 5.4 亿次,这个数值是同月份漏洞利用攻击次数第二高的漏洞的 5 倍。在 2 到 6 月份之间, 上述漏洞利用攻击始终呈现较活的态势,而在 7 月份,Realtek_SDK_Miniigd_Upnp 的漏洞利用攻击 数量突降到 20 万次左右,6 月到 7 月攻击数量非常反常地大幅下降,可能是这段时间瑞昱(Realtek) 着手修复这一问题,并且大量使用 miniigd SOAP 服务的设备得到了厂商的最新安全更新。其它几类常 见漏洞利用攻击的数量变动幅度不大,总体维持在一个平稳的水平。
对漏洞利用针对的设备类型进行分析,可以得到受攻击的物联网设备类型占比。如图 3.7 所示,其 中排名第一的是路由器,设备数量占到了总量的 60% 以上,与以往僵尸网络相似,受到的攻击数最多 的设备仍然是二层或三层网络设备。排名第二的是摄像头设备,占比超过四分之一,其中包含各类网络 摄像头,剩下数量占比 10% 左右的设备包含了网关、门禁、屏幕和流媒体处理服务器等。
通过绿盟威胁捕获系统,我们共捕获到上百种物联网漏洞的利用行为,攻击者漏洞利用的主要目标 设备类型同样是路由器和摄像头,占比 80% 以上,除此之外,网络存储设备和网络电话设备也逐渐成 为被利用对象。
可见,攻击者往往会关注路由器和摄像头的漏洞及其利用,原因是互联网上暴露的物联网设备主要 是路由器和摄像头设备,并且各类路由器和各类摄像头设备具有一定共性,攻击难度较小、广度较大。 而其他暴露的物联网设备与路由器、摄像头不同,具有较高的特异性,僵尸网络为了高特异性的设备更 新攻击载荷可能无法带来更高的成效,得不偿失。
图 3.8 展示了这上百种物联网漏洞利用类型的分布情况,其中远程代码执行类漏洞居多,占比约 70%。值得一的是,虽然权类漏洞与信息泄露类漏洞占比相同,但是相关攻击源数量前者是后者的 两倍之多。
表 3.2 是统计得到的攻击者使用数量前 10 的漏洞列表。其中排名第一的是针对使用 Realtek SDK 中 的设备,由未经身份认证和操作系统命令注入造成 RCE漏洞;排名第二的是针对大白鲨摄像头设备的 漏洞利用;排名第三的是针对网件 DGN1000 设备的管理页面漏洞利用。从图 3.6 中也可以看出被攻击 者大量利用的漏洞,其目标设备多半属于二层、三层网络设备,例如交换机与路由器,其次是各类摄像头。
表 3.2 攻击者利用最多的物联网漏洞 Top10(来源:CNCERT 物联网威胁情报平台)
公开年份 | Exploit-DB | CVE | 漏洞目标 |
---|---|---|---|
2015 | 37169 | 2014-8361 | Realtek_SDK_Miniigd_UPnP |
N/A | N/A | N/A | JAWS_DVR |
2017 | 43055 | N/A | Netgear_DGN1000 |
2014 | 37169 | 2017-17215 | Huawei_Router_HG532 |
2019 | 46150 | N/A | ThinkPHP |
2012 | 20113 | 2012-2953 | Symantec_Web_Gateway |
2015 | 37171 | 2015-2051 | DLink_HNAP |
2014 | 31683 | N/A | Linksys_Eseries |
2017 | 44003 | N/A | Vacron_NVR |
2018 | 44576 | 2018-10561 | Gpon_Router |
除上述漏洞外,绿盟威胁捕获系统还捕获到另外两个被利用较多的漏洞,针对 MVPower 数字 录像机的远程代码执行漏洞(EDB-ID:41471)和针对 AVTECH摄像头设备的系列漏洞(EDB-ID: 40500),这两个漏洞的相关 PoC 已经公开且攻击载荷构造非常简单,因此得到了攻击者的青睐。 |
参考资料
绿盟 2020物联网安全年报
友情链接
GB-T 36630.2-2018 信息安全技术 信息技术产品安全可控评价指标 第2部分:中央处理器
攻击者对 Exploit-DB平台的利用分析相关推荐
- Automatic Exploit Generation:漏洞利用自动化
漏洞利用是二进制安全的核心内容之一.当安全研究员挖掘到一个新的漏洞时,首先要做的事情就是尝试写POC和exploit.所谓POC,一般来说就是一个能够让程序崩溃的输入,且能够证明控制寄存器或者其他违反 ...
- Java反序列化漏洞通用利用分析
2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic.WebSpher ...
- CVE-2013-2551漏洞成因与利用分析(ISCC2014 PWN6)
CVE-2013-2551漏洞成因与利用分析 1. 简介 VUPEN在Pwn2Own2013上利用此漏洞攻破了Win8+IE10,5月22日VUPEN在其博客上公布了漏洞的细节.它是一个ORG数组整数 ...
- Lib之过?Java反序列化漏洞通用利用分析
1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来***最新版的WebLogic.We ...
- 区块链平台调研与分析报告.md
区块链平台分析--Ethereum & BCOS 此文是FISCO-BCOS项目的一篇报告,阅读笔记 原文链接:点击 概述 09年比特币诞生后区块链技术的迅速发展和受重视程度.在金融方向的领域 ...
- OSSIM平台安全事件关联分析实践
OSSIM平台安全事件关联分析实践 在<开源安全运维平台OSSIM最佳实践>一书中叙述到,事件关联是整个OSSIM关联分析的核心,对于OSSIM的事件关联需要海量处理能力,主要便于现在需要 ...
- 【安全漏洞】ProxyShell利用分析2——CVE-2021-34523
前言 本文将要介绍ProxyShell中第二个漏洞的细节,分析利用思路. 简介 本文将要介绍以下内容: ◼CommonAccessToken ◼Exchange PowerShell Remoting ...
- CVE-2013-3897漏洞成因与利用分析
CVE-2013-3897漏洞成因与利用分析 1. 简介 此漏洞是UAF(Use After Free)类漏洞,即引用了已经释放的内存.攻击者可以利用此类漏洞实现远程代码执行.UAF漏洞的根源源于对对 ...
- 超详攻略!Databricks 数据洞察 - 企业级全托管 Spark 大数据分析平台及案例分析
简介: 5分钟读懂 Databricks 数据洞察 ~ 更多详细信息可登录 Databricks 数据洞察 产品链接:https://www.aliyun.com/product/bigdata/sp ...
最新文章
- 盐为什么能使冰熔化得更快
- ThinkPHP 的一些知识
- 虚拟化服务器监控,监控服务器虚拟化软件
- Dnslog在SQL注入中的利用
- MTK 驱动开发(23)---MTK camera AF 及tuning
- python提高运行效率_提高CPU密集型任务执行效率——Python多进程介绍,内附实例代码...
- CSS雪碧,即CSS Sprite 简单的例子
- python和java哪个好-Python和Java到底哪个更好?
- 微软官方的《Power BI权威指南》译版发售
- vue差(插)值表达式
- 梯度消失的有效解决方法-batch normalization
- 【专栏必读】数据库系统概论第五版(王珊)专栏学习笔记目录导航及课后习题答案详解
- MySQL随机函数的运用场景示例总结
- 端口映射抖音去水印源码
- Android 腾讯 云通信 用户头像更新
- Linux开发板网络直连电脑的设置方法
- 11张好用的项目管理全流程图,支持下载保存(PMP项目管理可用)
- python用re模块实现数学公式计算
- RabbitMq(二)一文彻底弄懂RabbitMq的四种交换机原理及springboot实战应用
- 字节跳动校招开发一面、二面【凉】