物联网安全威胁情报(2022年12月)
1. 总体概述
2. 物联网恶意程序样本及传播情况
本月共捕获物联网恶意样本204889个,按恶意样本的家族统计情况如下图所示:
图2:僵尸家族恶意样本家族数量统计
本月监测发现恶意样本传播节点IP地址117387个,其中位于境外的IP地址主要位于印度(89%),巴西(3%),巴基斯坦(1%)国家/地区,地域分布如图3所示。
图3:境外恶意程序传播服务器IP地址国家/地区分布
其中传播恶意程序数量最多的10个C段IP地址及其区域位置如表1所示:
表1:传播恶意程序数量top-10 IP地址及位置
其中传播恶意最广的10个样本如表2所示:
表2:传播最广的ToP-10样本
3. C&C控制服务器情况
本月监测到活跃的控制端主机(C&C服务器)地址275个,其每日活跃情况按照恶意家族和天数统计如下。
图4:C&C服务器按照僵尸家族每日数量
监测发现C&C控制节点IP大部分为位于美国(21.5%),中国(7.3%),俄罗斯(5.8%)等国家地区,按照所在国家分布统计如下图所示
图5:物联网僵尸网络c&c地址国家地区分布(ToP30)
其中,本月最活跃的TOP10的C&C服务器如表2所示:
表3:本月活跃的C&C地址列表
4. 感染节点情况
本月监测到境内的物联网僵尸网络感染节点IP地址有56855个,主要位于广东省(30.9%),河南省(19.4%),浙江省(7.7%)等地域分布如下表所示:
图6:僵尸网络受感染及节点IP数境内各省市分布情况
每日活跃情况统计如下:
图7:每日活跃被控端服务器总量
感染节点按照IP属性分布,感染节点大多数属于住宅用户、数据中心、企业专线等类型,具体分布如下图所示。
图8:感染节点IP线图类型统计
5. 主要僵尸网络情况
本月监测发现的活跃物联网僵尸网络有29个,其中最活跃的有mirai(51.3%),mozi(36.2%),moobot(8.6%)等。每个僵尸网络按照规模大小统计情况如下:
图9:活跃僵尸网络规模统计
按照每日活跃情况统计如下:
图10:僵尸网络每日活跃情况统计
其中最活跃的前三个僵尸网络家族的感染控制节点分布如下所示。
图11:mirai世界分布
图12:mozi世界分布
图13:moobot世界分布
6. 整体攻击态势
物联网僵尸网络大量利用漏洞利用攻击进行感染传播,本月监测发现723种物联网漏洞攻击,新增12种漏洞攻击,监测到物联网(IoT)设备攻击行为9.87亿次。漏洞攻击每日活跃情况如图所示:
图14:物联网漏动攻击种类每日活跃图
被利用最多的10个已知IoT漏洞如表4所示:
表4:被利用最多的10个已知IoT漏洞
7. 本月值得关注的在野漏洞
1. Nexxt Router Firmware 42.103.1.5095远程代码执行漏洞(CVE-2022-44149)
漏洞信息:
Nexxt路由器在42.103.1.5095固件版本存在远程代码执行漏洞,攻击者可以利用该漏洞启用telnetd。
在野利用POC:
参考资料:
https://packetstormsecurity.com/files/170366/Nexxt-Router-Firmware-42.103.1.5095-Remote-Code-Execution.html
2. Royale Event Management System 跨站脚本漏洞
漏洞信息:
由于某些参数安全状况不佳,该教堂管理系统受到跨站点脚本漏洞的影响。攻击者可以利用此缺陷注入任意 javascript 代码来操纵受害者的浏览器功能。
在野利用POC:
参考资料:
https://packetstormsecurity.com/files/166479/Royale-Event-Management-System-1.0-Cross-Site-Scripting.html
3. AirSpot远程命令注入漏洞(CVE-2022-36267)
漏洞信息:
Airspan AirSpot 5410 0.3.4.1-4及以下版本存在未认证远程命令注入漏洞。ping 功能可以在没有用户身份验证的情况下调用,也可以通过任何Linux 命令注入。此漏洞通过二进制文件/home/www/cgi-bin/diagnostics.cgi 被利用,该文件接受未经身份验证的请求和未经处理的数据。
在野利用POC:
参考资料:
https://exploit.kitploit.com/2022/08/airspot-5410-0341-4-remote-command.html
https://nvd.nist.gov/vuln/detail/CVE-2022-36267
来源:关键基础设施安全应急响应中心
在线咨询
在线咨询
0371-63319761