關鍵信息基礎設施網絡安全(物聯網安全專題)監測月報202204期
1概述
根據《網絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》對關鍵信息基礎設施定義和范圍的闡述,關鍵信息基礎設施(Critical InformationInfrastructure,CII)是指一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的信息基礎設施,包括能源、交通、水利、金融、電子政務、公共通信和信息服務等關鍵行業和領域。
隨著“新基建”、“工業互聯網”等戰略的快速推進以及Lora、NB-IOT、eMTC、5G等技術的快速發展,物聯網與關鍵信息基礎設施已開始深度融合,在提高行業的運行效率和便捷性的同時,也面臨嚴峻的網絡安全和數據安全挑戰。因此,亟需對關鍵信息基礎設施的物聯網安全問題加以重視和防護。
CNCERT依托宏觀數據,對關鍵信息基礎設施中的物聯網網絡安全和數據安全等方面的問題進行專項監測,以下是2022年4月的監測情況。
2物聯網終端設備監測情況
2.1
活躍物聯網設備監測情況
本月對物聯網設備的抽樣監測顯示,國內活躍物聯網設備數310367臺,包括工業控制設備、視頻監控設備、網絡存儲設備(NAS)、網絡交換設備、串口服務器、打印機等11個大類,涉及西門子、羅克韋爾、歐姆龍、海康威視、大華、思科等49個主流廠商。
在本月所發現的活躍物聯網設備中,判別疑似物聯網蜜罐設備71個,蜜罐偽裝成可編程邏輯控制器、視頻監控設備等設備,仿真了HTTP、SNMP、S7Comm、Modbus、BACnet等常用協議。實際活躍的物聯網設備310296臺分布在全國各個省份,重點分布在臺灣、廣東、浙江、遼寧和江蘇等34個省級行政區。各省份設備數量分布情況如圖1所示。
圖1 活躍物聯網設備省份分布
2.2
特定類型物聯網設備重點分析
在發現的活躍物聯網設備中,本月針對對工業控制設備開展重點分析。國內活躍工控設備1541臺,包括可編程邏輯控制器、工業交換機、串口服務器、通信適配器等10種類型,涉及西門子、羅克韋爾、施耐德、霍尼韋爾、歐姆龍等21個主流廠商。
在本月所發現的工控設備中,基于資產的的Banner信息和ISP歸屬信息等進行綜合研判,識別疑似蜜罐設備16個,占比1.04 %,仿真協議包括Modbus、S7Comm、SNMP和EtherNetIP等,典型蜜罐特征如表1所示。
表1工控設備蜜罐特征
以設備139.*.*.44為例,設備監測信息如表2所示。判定該資產為蜜罐仿真設備的原因主要是ISP為云服務提供商。
表1. 139.*.*.44設備監測信息
去除占比1.04%的工控設備蜜罐,本月實際監測發現活躍工控設備1525臺。對這些設備進行漏洞識別,72臺設備識別到安全風險,包括高危漏洞設備16臺和中危漏洞設備56臺。這些具有漏洞的工控設備主要分布在遼寧、天津、安徽等16個省份,詳細的設備省份分布如圖2所示。
圖2 具有漏洞的工控設備省份分布
3掃描探測組織活動監測情況
3.1
掃描探測組織活躍性分析
本月監測發現來自Shodan、ShadowServer和密歇根大學等掃描探測組織的403個探測節點針對境內11352萬個IP發起探測活動,探測事件總計20703萬余起,涉及探測目標端口29287余個,境內IP地址分布于34個省級行政區,以北京、上海、廣東等省市居多。重點組織的探測活動情況如表3所示。
表3 重點組織的探測活躍情況
監測發現的403個探測組織活躍節點,分別包括Shodan探測節點36個、Shadowserver探測節點288個、Umich探測節點69個和Rapid7探測節點10個,主要分布在美國、荷蘭、冰島等地區,詳細的地理位置分布如圖3所示。
圖3 探測組織活躍節點地理位置分布
按照探測組織節點活躍情況進行排序,表3為最活躍的10個節點信息,主要是Shodan和Shadowserver組織的節點,這十個節點的探測事件數達13871萬起,占總事件的67%。
表4 探測組織活躍節點Top10
3.2
探測組織行為重點分析——Shadowserver組織
為詳細了解探測組織的探測行為,本月對Shadowserver組織的探測行為進行了重點監測分析。
(1)Shadowserver探測節點整體活動情況
監測發現Shadowserver組織活躍節點288個,探測事件53231185起,探測目標端口4225個,目標涉及境內38189144個IP地址,覆蓋全國34個省級行政區。監測發現的最為活躍節點信息如表5所示。
表5 Shadowserver探測節點活躍度Top排序
(2)Shadowserver探測節點時間行為分析
圖4為Shadowserver活躍節點按天的活躍熱度圖。首先,從節點每天探測數據趨勢可以看出,每個節點的活躍度相對穩定,基本保持在同一個數量級下;其次,不同節點的探測活躍度存在一定程度的差異,探測活躍高的節點日探測事件幾十萬起,而探測活躍低的節點日探測事件為幾萬起。同時,位于同網段的探測節點,探測事件數量級基本保持一致,如IP為184.*.*.102、184.*.*.208、184.*.*.226、184.*.*.232和184.*.*.242的節點,日探測事件均為幾萬起。對比前期關鍵信息基礎設施網絡安全監測月報中針對Shadowserver組織的行為分析可以看出,探測節點時間行為分析規律與前期分析結果保持一致。
圖4 Shadowserver節點日活躍熱度圖
(3)Shadowserver探測節點協議行為分析
圖5為Shadowserver 節點按協議統計的探測行為熱度圖。從圖中可以看出如下幾點特征:第一,對于多數節點而言,針對同一協議的探測頻率分布比較均勻,存在個別節點(如184.105.247.235),探測頻率比較高;第二,同一節點針對不同協議的探測頻度不同;第三,不同節點的探測協議分布不同,如SunRPC、SNMP、ASF、等協議,只有部分節點存在探測行為;第四,對比不同協議的被探測頻率,整體來講,針對傳統IT類協議的探測頻度占比較高,而對于工控物聯網協議(如Modbus)的探測頻度則占比較小。
圖5 Shadowserver節點協議探測頻度熱度圖
4重點行業物聯網網絡安全
4.1
物聯網行業安全概述
為了解重點行業物聯網網絡安全態勢,本月篩選了電力、石油、車聯網和軌道交通等行業的2396個資產(含物聯網設備及物聯網相關的web資產)進行監測。監測發現,本月遭受攻擊的資產有1440個,主要分布在北京、廣東、浙江、山東、上海等32個省份,涉及攻擊事件12632起。其中,各行業被攻擊資產數量及攻擊事件分布如表6所示,被攻擊資產的省份分布如圖6所示。
表6 行業資產及攻擊事件分布
圖6 重點行業被攻擊資產的省份分布
對上述網絡攻擊事件進行分析,境外攻擊源涉及美國、荷蘭等在內的國家56個,攻擊節點數總計1069個。其中,按照攻擊事件源IP的國家分布,排名前5分別為美國(5658起)、和荷蘭(774起)、韓國(727起)、俄羅斯(467起)、和南非(331起)。
對網絡攻擊事件的類型進行分析,本月面向行業資產的網絡攻擊中,攻擊類型涵蓋了遠程代碼執行攻擊、命令執行攻擊、SQL注入攻擊、漏洞利用攻擊、掃描攻擊等。詳細的攻擊類型分布如圖7所示。
圖7 物聯網行業資產攻擊類型分布
4.2
特定攻擊類型分析
在針對重點行業物聯網資產的網絡攻擊事件中,本月重點分析的攻擊類型為Apache Flink任意文件讀取攻擊,涉及攻擊事件117起。
漏洞分析:Apache Flink是由Apache軟件基金會開發的開源流處理框架,其核心是用Java和Scala編寫的分布式流數據流引擎。Flink以數據并行和管道方式執行任意流數據程序,Flink的流水線運行時系統可以執行批處理和流處理程序。Apache Flink 1.5.1引入了REST接口,該接口存在多處缺陷,導致了目錄遍歷和任意文件寫入漏洞,即允許攻擊者通過JobManager進程的REST接口讀取JobManager本地文件系統上的任何文件。
本月攻擊事件中Apache Flink任意文件讀取攻擊示例如圖8所示。如圖可以看出,攻擊執行方式與漏洞背景分析一致。
圖8 Apache Flink任意文件讀取攻擊示例
4.3
物聯網資產數據流轉情況
針對重點行業物聯網資產的數據流轉情況進行監測,本月共有2307個行業資產存在與境外節點的通信行為,通信頻次為20998萬次。通聯境外國家Top10排名如圖9所示,其中排名最高的是美國(通信9104萬次,節點59萬個)。各行業通聯事件及資產數量分布如圖10所示,其中通信頻次最多的為電力行業,涉及1667個資產的15801萬余次通信。
圖9 境外通聯國家事件Top10
圖10 行業通聯事件資產分布
4.4
重點行業物聯網安全威脅情報
(1)攻擊節點威脅情報
在針重點行業物聯網資產的網絡攻擊中,本月發起攻擊事件最多的境外IPTop10信息如表7所示,涉及攻擊事件4916起,占攻擊總事件的38.92%。
表7 境外攻擊IP Top10
(2)數據訪問威脅情報
在針對重點行業物聯網資產的數據訪問事件中,本月與境內行業資產訪問頻次最多的境外IP Top10信息如表8所示。
表8 數據訪問IP Top10
對重點行業物聯網安全態勢進行評估,目前重點行業中的物聯網資產仍然面臨較多網絡安全風險,頻繁遭受攻擊,各行業應提高防護意識,加強本行業的網絡安全技術防護手段建設。
5總結
CNCERT通過宏觀數據監測,在活躍設備、探測組織、重點行業攻擊事件等方面發現多種物聯網安全問題,然而需要指出的是,目前所發現的問題只是物聯網網絡安全的冰山一角,CNCERT將長期關注物聯網網絡安全問題,持續開展安全監測和定期通報工作,同時期望與各行業共同攜手,提高行業物聯網安全防護水平。
