物聯網安全威脅情報（2022年6月）

1 總體概述

根據CNCERT監測數據，自2022年06月1日至30日，共捕獲物聯網惡意樣本486,620個，發現活躍的僵尸網絡C&C服務器地址4,083個，其地址位置主要分布在美國（38.8%）、中國（8.5%）、俄羅斯（7.5%）等國家。

針對物聯網的網絡攻擊主要使用密碼爆破、漏洞利用等方式進行感染和控制設備，根據CNCERT監測分析，本月發現607類活躍的物聯網在野漏洞攻擊，發現針對的物聯網（IoT）設備在野漏洞攻擊行為14億307萬次，發現活躍的被感染僵尸節點IP有1,703,631個，這些感染節點在境內主要分布在廣東省（12.4%）、浙江省（9.8%）、河南省（8.5%）等省市。

以上控制節點和感染節點共同組成了數量龐大的各類物聯網僵尸網絡，根據CNCERT數據統計和分析，本月發現的主要物聯網僵尸網絡有48個，其中排名前三的是mirai（38.2%）、mozi（21.9%）、yi20（5.6%）等。另外，2022年6月還發現并披露了一個全新的僵尸網絡家族RapperBot ，其正在利用IoT設備構建攻擊網絡，成為一個重要的潛在威脅源，這些僵尸網絡的感染傳播對網絡空間帶來了極大威脅。

2 物聯網惡意程序樣本及傳播情況

本月共捕獲物聯網惡意樣本486,620個，按惡意樣本的家族統計情況如下圖所示：

圖1：僵尸家族惡意樣本家族數量統計

本月監測發現傳播各類惡意樣本的傳播節點IP地址117,815個，其中位于境外的IP地址主要位于印度（49.8%）、美國（12.5%）、巴基斯坦（9.3%）國家/地區，地域分布如圖2所示。

圖2：境外惡意程序傳播服務器IP地址國家/地區分布

其中傳播惡意程序數量最多的10個C段IP地址及其區域位置如表1所示。

表1：傳播惡意程序數量TOP10 的IP地址及位置

其中傳播惡意最廣的10個樣本如表2所示：

表2：傳播最廣的ToP-10樣本

3 物聯網惡意程序樣本C&C控制服務器情況

本月監測到活躍的物聯網僵尸網絡控制端主機（C&C服務器）地址4,083個，每日活躍情況按照惡意家族和天數統計如圖3所示。

圖3：C&C服務器按照僵尸家族每日數量

監測發現C&C控制節點IP大部分為位于美國（38.8%）、中國（8.5%）、俄羅斯（7.5%）等國家地區，按照所在國家分布統計如下圖所示

圖4：物聯網僵尸網絡C&C地址國家地區分布（TOP30）

其中，本月最活躍的TOP10的C&C服務器如表3所示：

表3：本月活躍的C&C地址列表

4 物聯網惡意程序樣本感染節點情況

本月監測到境內的物聯網僵尸網絡感染節點IP地址有1,703,631個，主要位于廣東省（12.4%）、浙江省（9.8%）、河南省（8.5%）等地域分布如下表所示：

圖5：僵尸網絡受感染及節點IP數境內各省市分布情況

每日活躍情況統計如下:

圖6：每日活躍被控端服務器總量

感染節點按照IP屬性分布，感染節點大多數屬于住宅用戶、數據中心、企業專線等類型，具體分布如下圖所示。

圖7：感染節點IP線圖類型統計

5 物聯網惡僵尸網絡情況

本月監測發現的活躍物聯網僵尸網絡有48個，其中最活躍的物聯網僵尸網絡有mirai、mozi、yi20等。每個僵尸網絡按照規模大小統計情況如圖8所示。

圖8：活躍僵尸網絡規模統計

僵尸網絡按照每日活躍情況統計如下：

圖9：僵尸網絡每日活躍情況統計

其中最活躍的前2個僵尸網絡家族的感染控制節點分布如下所示。

圖10：Mirai感染節點世界分布圖

圖11：mozi感染節點世界分布圖

6 物聯網整體攻擊態勢

物聯網僵尸網絡大量利用漏洞利用攻擊進行感染傳播，本月監測發現607種物聯網漏洞攻擊，新增607種漏洞攻擊，監測到物聯網（IoT）設備攻擊行為14.03億次。漏洞攻擊每日活躍情況如圖13和圖14所示。

圖13：物聯網漏動攻擊種類每日活躍圖

圖14：物聯網漏動攻擊次數每日活躍圖

被利用最多的20個已知IoT漏洞分別為：

表6：被利用最多的20個已知IoT漏洞

7 本月值得關注的物聯網在野漏洞

1. Telesquare任意文件刪除（CVE-2021-46419）

漏洞信息：

Telesquare TLR-2855KS6是韓國Telesquare公司的一款 LTE 路由器。

Telesquare TLR-2855KS6存在安全漏洞，該漏洞源于個未經授權的文件刪除漏洞通過 DELETE 方法可以允許刪除系統文件和腳本。

在野利用POC:

參考資料：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46419

https://www.exploit-db.com/exploits/50863

2. Spring Cloud遠程命令執行漏洞(CVE-2022-22947)

漏洞信息：

Spring Cloud Gateway 是 Spring Cloud 下的一個項目，該項目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技術開發的網關，它旨在為微服務架構提供一種簡單有效、統一的 API 路由管理方式。使用 Spring Cloud Gateway的應用如果對外暴露了 Gateway Actuator 接口，則可能存在被 CVE-2022-22947 漏洞利用的風險。攻擊者可通過利用此漏洞執行 SpEL 表達式，從而在目標服務器上執行任意惡意代碼，獲取系統權限。

在野利用POC：

參考資料：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22947

https://www.exploit-db.com/exploits/50799

3.Confluence遠程命令執行 (CVE-2022-26134)

漏洞信息：

Confluence是一個專業的企業知識管理與協同軟件，也可以用于構建企業wiki。使用簡單，但它強大的編輯和站點管理特征能夠幫助團隊成員之間共享信息、文檔協作、集體討論，信息推送。ConfluenceServerandDataCenter存在一個遠程代碼執行漏洞，未經身份驗證的攻擊者可以利用該漏洞向目標服務器注入惡意ONGL表達式，進而在目標服務器上執行任意代碼。

在野利用POC：

參考資料：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://packetstormsecurity.com/files/167449/Atlassian-Confluence-Namespace-OGNL-Injection.html