報告編號:B6-2020-020702
更新日期:2020-02-07
0x00 事件背景
2020年2月,360CERT 通過360網絡安全大腦監測發現,近期有境外黑客組織發佈推文揚言將於2020年2月13日對我國視頻監控系統實施網絡攻擊破壞活動。
0x01 事件危害
結合無數起攻擊者利用暴露在公網的網絡設備的歷史事件。
360CERT 總結其危害特徵如下
一、影響設備的正常功能
1、失去監控畫面
2、失去對設備的控制權
二、對設備所處的網絡環境進行危害
1、造成網絡波動,影響網絡正常使用
2、攻擊相連接的其他設備
三、從事惡意活動
1、挖礦
2、DDoS 妨害關鍵性互聯網資源
如果成功進行攻擊,會對用戶的日常生活造成嚴重的干擾以及無法使用相關設備
360CERT 在此提醒使用該類產品的用戶對自身設備進行安全維護以及安全自查。以免受到惡意攻擊。
0x02 空間測繪數據
為了提前防範出現相關安全事件,現通過360 Quake網絡空間測繪系統對聲明中涉及到的全國相關網絡視頻監控系統、軟件進行發現和統計數據,發現全國約78.9萬個開放在互聯網的相關監控設備。
這些設備大多開放在如下端口:
- 21
- 80
- 81
- 82
- 83
- 443
- 554
- 9001
- 9999
- 8888
通常使用如下協議:
- http
- https
- rstp
- ftp
- ipcam
- sip
- upnp
網絡視頻監控設備和傳統的家用設備的區別在於,其為了遠程控制多數選擇直接暴露在公網中,因此存在極大的安全風險隱患。攻擊者可以輕易的訪問到這些設備並實施遠程控制,以及用於從事網絡危害活動。
這些設備往往具有如下特點:
- 其自身不具備防禦性
- 固件版本十分老舊
- 不支持OTA自動更新
- 以產品功能為導向而非安全
回顧歷史上的殭屍網絡攻擊,以及針對IoT設備的攻擊,主要採取以下幾種方式:
- 弱口令及默認密碼、內置密碼
- 邏輯漏洞
- 公共組件歷史漏洞
0x03 相關建議
通過網絡空間測繪的數據可以看出相關視頻監控系統、攝像頭在國內互聯網中的分佈十分廣泛,而相關視頻監控系統、網絡攝像頭曾出現的安全漏洞並未被及時修補是造成當下被攻擊的首要原因。
針對本次事件我們提出以下建議:
- 建議各地監管單位,利用相關安全監測平臺、態勢感知系統,對轄區內的相關重點單位資產進行持續性監測,特別是其中相關視頻監控、網絡攝像頭的安全監測,一旦發現有大規模的攻擊行為,可以直接通過相關係統阻斷其惡意流量;
- 建議各視頻監控系統、設備生產廠商,儘快排查當前出售的各類軟硬件產品是否存在相關安全漏洞,如果有發現請立即修復,第一時間內在官方渠道發佈安全修復補丁。同時排查互聯網內現存安全問題的設備,對發現安全問題的設備推出相應的安全修復和升級更新;
- 各企事業單位、個人用戶,需要儘快對所有的相關視頻監控、網絡攝像頭的設備及時進行安全加固和系統更新;各企事業單位也可通過相關安全監測平臺、資產管理設備,對相應系統進行持續監控,一旦發現有可疑攻擊行為,可以直接通過相關係統阻斷其惡意流量。
另外在技術層面上,我們建議如下:
- 對暴露在外的非必要端口進行關閉
- 對必要暴露的端口配置好認證措施反向代理加密通信白名單訪問
- 及時更新設備的固件/軟件
- 暫停使用過於老舊的失去維護的設備
0x04 時間線
2020-02-07 360CERT發佈通告
0x05 參考鏈接
- 相關文件
- 2017年度安全報告--IoT安全威脅.pdf
閱讀更多 360CERT 的文章
