2022-2023年物联网僵尸网络报告

2022-2023年IOTBOTNET报告 针对的脆弱性 2022-2023年IoT僵尸网络报告-目标漏洞 Introduction 本报告调查了我们从2022年7月初到2023年1月底在受CUJOAI保护的消费者网络中观察到的物联网僵尸网络活动。有关我们研究的更多见解，请访问CUJOAI博客和ISP安全中心。 大多数物联网（IoT）设备的资源有限，类似Unix的操作系统和网络安全措施不足。后者，再加上设备制造商通常短暂而被忽视的软件支持周期，为热衷于利用这种情况的网络犯罪分子提供了重要的温床。 2版权所有©2023CUJOLLC 目录 2022-2023年IoT僵尸网络报告-目标漏洞 目录 Introduction2 loT威胁4 僵尸网络?5 工作5 报告5 2022-2023年IoT僵尸网络报告：Summary6 漏洞7 CWE14 注射14 Targeted19 2022/202320 漏洞23 利用25 IoT威胁 我们最新的年度网络安全报告显示，虽然IP摄像机仅占CUJOAI监控和保护的所有设备的1.2％，但它们是所有恶意活动的24％。 希捷（NAS产品） SpecoTechnologies(CCTV,DVR产品) QNAP（NAS产品） Hikvision(IP摄像机,DVR产品) 物联网（IoT）由数十亿连接到互联网的设备组成，各种预测表明，它们的数量只会在未来几年增长。物联网设备有许多不同的形式：智能家用电器，打印机，IP摄像机，路由器，各种传感器，列表还在继续。从更技术的角度来看,具有IP地址的任何设备(其不像典型的台式计算机、膝上型计算机或智能电话那样被管理)可以被视为IoT设备。 什么叫僵尸网络？ 由于我们将讨论与僵尸网络相关的威胁，因此我们应该从僵尸网络的定义开始。僵尸网络是由特定恶意软件感染的设备组成的网络，其中设备可以由恶意软件的操作员控制。这种特定类型的恶意软件也被称为“僵尸网络” ，这是我们从现在开始使用的含义。 僵尸网络如何工作 在过去的几年中，典型的僵尸网络相关的物联网设备攻击的解剖结构没有太大变化，我们在上一篇文章中对此进行了详细说明。简而言之，它涉及stagershell脚本，该脚本下载并开始执行恶意软件二进制文件。二进制名称通常包括它们被编译的CPU架构。在物联网环境中观察到的大多数恶意软件都是臭名昭著的Mirai或Gafgyt僵尸网络的变体，但以Go编写的恶意软件也在增加，Sysrv和Zerobot就是这方面的主要例子。 僵尸网络传播的两个主要载体是： 1. 利用已知的软件漏洞 2. 一般来说，第一种是更常见的方法，正如我们在之前的报告中指出的那样：“质量差的物联网设备通常带有硬编码的默认密码，用户不会更改这些密码，或者在强制更改密码时更改为易于记住（因此可以快速执行）的密码。 以前的僵尸网络报告 我们之前的报告涵盖了2021年的4个月，发现只有8%的样本包含漏洞利用。其中，83%使用了两个或更多漏洞利用。总共，我们发现了20个不同的漏洞作为目标，其中大多数是在2018年或更早的时候披露的。 2022-2023年物联网僵尸网络报告：摘要 在2022年7月初至2023年1月底之间，有6,471个不同的ELF二进制文件被归类为恶意漏洞，1,685个（26％）包含至少1个漏洞利用，比2021年的8％大幅增加。总共有55个漏洞被利用，是2021年的两倍多。 通过查看公共弱点枚举（CWE），这是一个由社区开发的分配给漏洞的硬件和软件漏洞类型列表，我们观察到了我们之前看到的100%“注入”型漏洞的一些变化。但是，即使CWE类别在技术上有所不同，恶意软件的目标也几乎总是相同的：在目标系统上远程运行命令。一个真正的离群值是CVE-2021-4034，它可以实现本地权限升级。 在最容易被利用的十大漏洞中，有三个新条目。但是，CVE-2017-17215是迄今为止最常见的恶意软件漏洞：在1,685个包含漏洞的二进制文件中，有1,625个使用了它。在更常见的新被利用的漏洞中，所有漏洞都与Zerobot僵尸网络有关，但其中两个也被其他恶意软件利用。 与我们上一份报告相比，漏洞在披露年份的分布显示出一些重大变化，因为最近（在本报告前两年内披露）的漏洞数量要大得多，尽管很少有恶意软件二进制文件利用它们。 使用两个或更多漏洞的恶意软件二进制文件减少-2022-23年为40％，2021年为83％。总共观察到36个不同的漏洞集，Zerobot为最大的漏洞集配备了22个条目。 在我们的研究中发现的36个漏洞集中，只有6个包括最近披露的漏洞（在本报告之前的两年内）。其中四个集合由针对最近漏洞的大约50％或更多的漏洞利用组成。我们已经明确命名并列出了这四套以及它们的恶意软件，因为它们在利用新漏洞方面最具创新性。 被利用的漏洞列表 这是我们在2022年7月初至2023年1月底之间检测到的所有已利用漏洞的列表。“漏洞类型”列基于常见弱点枚举(CWE)。我们还列出了受影响的设备或软件类型以及特定型号或版本名称。 CVE CVE-2007-3010 - - CVE-2013-7471 - CVE-2014-2321 漏洞名称 阿尔卡特OmniPCX统一维护工具“masterCGI”未经验证通过“用户”参数执行远程命令 Netgear"setup.cgi"未经身份验证的远程命令执行 中兴ZXV10H108L "manager_dev_ping_t.gch" 远程命令执行-tion D-LinkUPnP"soap.cgi"未经身份验证的远程命令执行 Linksys"tmUnblock.cgi"未经身份验证的远程命令执行 ZTE电缆调制解调器"web _shell_cmd.gch"未经身份验证的远程命令执行 漏洞类型(CWE) 输入验证不正确 命令注入 命令注入 命令注入 命令注入 命令注入 (nvd.nist.gov不同意) 受影响的设备/- 软件类型 软件（AlcatelOmniPCX企业通信服务器中的统一维护工具） 路由器(NetgearDGN1000、DGN2000) 路由器(中兴ZXV10H108L) 路由器(D-LinkDIR-300,DIR-600,DIR-645, DIR-845,DIR-865) 路由器(LinksysE系列) 调制解调器(ZTEF460、F660) 7版权所有©2023CUJOLLC 2022-2023年IoT僵尸网络报告-目标漏洞 CVE 漏洞名称 漏洞类型(CWE) 受影响的设备/-软件类型 CVE-2014-3206 SeagateBlackArmorNAS 输入验证不正确 NAS(希捷BlackArmorNAS110 "localJob.php"未经身份验 、220) 证的远程命令执行 CVE-2014-8361 RealtekSDK-miniigdUPnP 输入验证不正确 软件(RealtekSDK)、路由器 SOAP" (D-LinkDIR系列中的多个产 wanipcn.xml"/"pics-dex.xml"未经身份验证的命令 品) 执行 CVE-2014-9118 DASANZhone"zhn-ping.cmd" 命令注入 路由器(DASANZhonezNID 通过'ipAddr'参数验证的远程命 GPON2426A) 令执行 CVE-2015-2051 通过对HNAP界面的 命令注入 路由器(D-LinkDIR-645) “GetDeviceSettings”操作执行未经验证的远程命令 - 通过“Search.cgi”（未经身份验证）、“CloudSetup.cgi”（已身份验证）或“adcom-mandd. 命令注入 IP摄像机、NVR、DVR(AVTECH) cgi”（已身份验证）页面执行AVTECH远程命令VACRONNVR"board.cgi"远程命令执行-通过'cmd'参数 - 命令注入 NVR(VACRON) CCTV/DVR"language/Swedish"远程命令执行 - 命令注入 DVR，CCTV（超过70家供应商） Netgear“cgi-bin/;”不合适的远程通信命令执行 CVE-2016-6277 命令注入(nvd.nist.gov不同意) 路由器(NetgearR系列中的多种产品和D系列) 8版权所有©2023CUJOLLC CVE 漏洞名称 漏洞类型(CWE) 受影响的设备/-软件类型 命令注入 CVE-2016-10372 ZyXEL/eirD1000"UD/act?" 调制解调器(ZyXEL/eirD1000 未经身份验证的远程命令执行 命令注入 CVE-2016-20016 JAWS网络服务器“/shell” DVR(MVPower 未经身份验证的远程命令执行 TV-7104HE，TV-7108HE。 命令注入 CVE-2016-20017 D-Link"login.cgi"通过“cli”参数执行未经授权的远程命令 路由器(D-LinkDSL-2750B) ApacheStruts2通过OGNL注入 输入验证不正确 CVE-2017-5638 执行未经授权的远程命令 软件(ApacheStruts2) 华为HG532"DeviceUp-grade_1"认证远程命令执行 输入验证不正确 CVE-2017-17215 Zyxel"ViewLog.asp"路由器未 路由器(华为HG532) 经身份验证的远程命令通过'remote_host'参数执行 CVE-2017-18368 WIFICAMIP摄像机"set_ftp.cgi"未经身份验证的远程命令 命令注入 路由器(ZyxelP660HN) 执行DasanGPON路由器“GponForm/diag_Form”验 命令注入 CVE-2017-18377 证绕过和命令注入漏洞-通过“dest_host”参数实现的能 IP摄像机(WIFICAM) 力 不正确的身份验证和命令注 CVE-2018-10561/10562 入 路由器(DasanGPON) 版权所有©2023CUJOLLC 2022-2023年IoT僵尸网络报告-目标漏洞 ) ） 9 2022-2023年IoT僵尸网络报告-目标漏洞 CVE CVE-2018-10823 CVE-2018-17173 CVE-2018-20057 CVE-2018-20062 CVE-2020-7209 CVE-2020-8515 CVE-2020-8958 CVE-2020-9054 10 漏洞名称 D-Link"chkisg.htm"通过“Sip”参数授权远程命令执行 LGSuperSignCMS“getThumbnail”通过“sourceUri”参数执行未经验证的远程命令 D-Link"formSysCmd"通过“sysCmd”参数验证的远程命令执行 NoneCMSv1.3ThinkPHP"index.php"通过'invokefun-tion'参数执行未经身份验证的远程命令 LinuxKI未经身份验证的远程命令执行 DrayTekVigor2960"main-function.cgi"通过“keyPath”参数未验证的远程命令执行 OptiLinkGPON“formP-ing”/“formTracert”通过“target_addr”参数执行的身份验证远程命令 ZyXELNAS系列“weblog-in.cgi”未经身份验证的远程命令执行-通过“用户名”参数-ter 漏洞类型(CWE) 命令注入 命令注入 命令注入 输入验证不正确 命令注入 命令注入 命令注入 命令注入 受影响的设备/- 软件类型 路由器（多个D-LinkDWR系列） 软件(LGSuperSign) 路由器(D-LinkDIR-619L,DIR-605L,SapidoRB-1732) 软件(NoneCMSv1.3,ThinkPHP) 软件(Lin