编者按
《互联网基础设施与软件安全年度发展研究报告(2020)》第二章《物联网安全测量与分析报告》,共八个小节,分别为:物联网安全发展趋势、物联网安全威胁模型分析、固件安全、密码学安全、云安全、通信安全、App 安全、总结。我们已经发布了第一章全部内容,本文为第二章第一小节《物联网安全发展趋势》。
本文共2280字。文末有惊喜!
物联网场景下的安全漏洞逐年增长,导致重大安全事件频发。在当前新基建信息化建设的大背景下,5G通讯、工业互联网等新型互联网基础设施的不断涌现,催生了智慧城市、智能制造、无人驾驶等全新的物联网应用场景,也加速物联网产业的飞速发展。物联网已经成为现代信息社会的重要基础设施。然而,从物联网漏洞报告趋势、现网漏洞攻击态势、软件安全防护机制多个角度分析发现,物联网当前整体的安全形势不容乐观,值得物联网行业的高度关注。
清华大学(网络研究院)-奇安信集团网络安全联合研究中心以当前新基建场景下的物联网安全问题为切入点,基于物联网设备固件、全网物联网活跃资产、用户侧App等海量数据,进行多维度的安全测量分析。研究团队依次从智能终端系统、物联网云服务、物联网通信协议、移动端App等维度出发,发现了系统安全漏洞、网络协议脆弱性、密码学误用等一系列当前物联网场景中的诸多严重安全问题;并且以攻击者的视角,进行全方位的安全漏洞分析与测量,定位问题根源,提出修补建议,期望能够辅助行业更好地发现、解决当前物联网面临的实际安全问题,为共建物联网安全生态、网络安全新基建贡献一份力量。
(注:本文数据均为截至2020年7月的数据)
01、物联网漏洞报告趋势
根据美国NVD(National Vulnerability Database,国家漏洞数据库)数据统计得知,近年CVE(Common Vulnerabilities&Exposures,通用漏洞披露)总量增长趋势有所放缓,但物联网相关漏洞的数量呈明显增长趋势(见图2-1),尤其自2017年允许个人申报CVE以来,漏洞增长呈爆发趋势。
图2-1 近20年物联网相关CVE漏洞报告趋势(1999—2019)
02、物联网漏洞攻击态势
当前物联网设备或平台已经成为网络攻击的重要目标,根据奇安信星迹平台(用于捕获网络攻击的蜜罐系统)统计,目前平均每天收到PoC漏洞利用流量约300万次,我们抽取了2020年7月18日的全天数据进行统计分析。结果如图2-2所示,取当天漏洞利用次数的前10名,其中仅排名第2的phpMyAdmin为非物联网目标,其他均为物联网设备。
图2-2 2020年7月18日星迹平台捕获的漏洞利用行为(前10名)
03、软件安全防护机制的部署情况
随着软件功能越来越复杂,漏洞不可避免。尽管软件漏洞应该在开发、测试阶段被解决,但业界仍然需要一系列的软件安全防护技术来减小漏洞被利用的风险,有效提高软件的安全性。常见的防护机制如下。
■CANARY:栈溢出保护,缓冲区溢出攻击缓解手段。
■NX:堆栈不可执行,基本原理是将数据所在的内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是执行恶意指令。
■PIE:位置独立的可执行区域(Position Independent Executables),增加缓冲区溢出等类型漏洞的利用难度。
■ FORTIFY_SOURCE:用于检查是否存在缓冲区溢出(Buffer Overflow)的错误,无法检测出全部缓存区溢出但依旧有一定防御作用。
■ RELRO:设置符号重定向表为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)的攻击。
尽管开启软件安全防护机制可有效提升软件的安全性,但对30多个厂商的2,000个物联网设备固件进行统计分析发现:物联网设备固件中软件安全防护机制的部署情况并不理想,远逊于Google Android系统上的安全防护表现。
如图2-3所示,从Google Nexus系列手机ROM的软件保护机制统计情况来看,NX保护机制开启比例平均为99%,PIE保护机制开启比例平均为95%,CANARY保护机制开启比例平均为74%。考虑其最近一次ROM更新时间(ROM代码后面的年份为该ROM最后的更新时间),早在2012年,Android系统的软件安全保护机制部署应用情况已达到较好的水平。反观物联网设备固件中的软件安全防护机制,普遍表现不佳,其中CANARY保护机制平均为6.25%(见图2-4),NX保护机制平均为27%(见图2-5),PIE保护机制平均为9%(见图2-6),表现比较好的厂商寥寥无几,普遍重视程度不够。
图2-3 Google Nexus系列手机ROM软件保护机制的统计情况
图2-4 物联网设备固件中Stack CANARY机制的统计情况
图2-5 物联网设备固件中NX机制的统计情况
图2-6 物联网设备固件中PIE机制的统计情况
04、2020年上半年物联网重大安全事件总结
对2020上半年一些较为重大的物联网安全事件进行梳理总结,可发现当前物联网场景的安全态势具备如下特点。
■物联网基础设施仍相对脆弱,相关基础协议存在漏洞,如Ripple20的TCP协议栈漏洞波及数亿IoT设备、思科CDP协议漏洞等。
■漏洞披露的目标覆盖智能家居类小型设备和工业级物联网场景大型工控系统,如儿童智能手表、以色列供水系统等。
■ 物联网领域仍然是僵尸网络活动的重灾区,如Dark Nexus僵尸网络事件及2020年某黑客论坛物联网设备密码泄露事件等。
■漏洞借助供应链传播,影响面不输于传统PC且攻击路径更加简单。如Netgear的httpd漏洞影响79款不同型号的设备,博通芯片影响了数亿级的调制解调器等。
(未完待续……)
版权声明:本研究报告由清华大学(网络研究院)-奇安信集团网络安全联合研究中心撰写完成,版权属于双方共有,并受法律保护。
来源:奇安信技术研究院
在线咨询
在线咨询
0371-63319761