报告编号:B6-2020-020702
更新日期:2020-02-07
0x00 事件背景
2020年2月,360CERT 通过360网络安全大脑监测发现,近期有境外黑客组织发布推文扬言将于2020年2月13日对我国视频监控系统实施网络攻击破坏活动。
0x01 事件危害
结合无数起攻击者利用暴露在公网的网络设备的历史事件。
360CERT 总结其危害特征如下
一、影响设备的正常功能
1、失去监控画面
2、失去对设备的控制权
二、对设备所处的网络环境进行危害
1、造成网络波动,影响网络正常使用
2、攻击相连接的其他设备
三、从事恶意活动
1、挖矿
2、DDoS 妨害关键性互联网资源
如果成功进行攻击,会对用户的日常生活造成严重的干扰以及无法使用相关设备
360CERT 在此提醒使用该类产品的用户对自身设备进行安全维护以及安全自查。以免受到恶意攻击。
0x02 空间测绘数据
为了提前防范出现相关安全事件,现通过360 Quake网络空间测绘系统对声明中涉及到的全国相关网络视频监控系统、软件进行发现和统计数据,发现全国约78.9万个开放在互联网的相关监控设备。
这些设备大多开放在如下端口:
- 21
- 80
- 81
- 82
- 83
- 443
- 554
- 9001
- 9999
- 8888
通常使用如下协议:
- http
- https
- rstp
- ftp
- ipcam
- sip
- upnp
网络视频监控设备和传统的家用设备的区别在于,其为了远程控制多数选择直接暴露在公网中,因此存在极大的安全风险隐患。攻击者可以轻易的访问到这些设备并实施远程控制,以及用于从事网络危害活动。
这些设备往往具有如下特点:
- 其自身不具备防御性
- 固件版本十分老旧
- 不支持OTA自动更新
- 以产品功能为导向而非安全
回顾历史上的僵尸网络攻击,以及针对IoT设备的攻击,主要采取以下几种方式:
- 弱口令及默认密码、内置密码
- 逻辑漏洞
- 公共组件历史漏洞
0x03 相关建议
通过网络空间测绘的数据可以看出相关视频监控系统、摄像头在国内互联网中的分布十分广泛,而相关视频监控系统、网络摄像头曾出现的安全漏洞并未被及时修补是造成当下被攻击的首要原因。
针对本次事件我们提出以下建议:
- 建议各地监管单位,利用相关安全监测平台、态势感知系统,对辖区内的相关重点单位资产进行持续性监测,特别是其中相关视频监控、网络摄像头的安全监测,一旦发现有大规模的攻击行为,可以直接通过相关系统阻断其恶意流量;
- 建议各视频监控系统、设备生产厂商,尽快排查当前出售的各类软硬件产品是否存在相关安全漏洞,如果有发现请立即修复,第一时间内在官方渠道发布安全修复补丁。同时排查互联网内现存安全问题的设备,对发现安全问题的设备推出相应的安全修复和升级更新;
- 各企事业单位、个人用户,需要尽快对所有的相关视频监控、网络摄像头的设备及时进行安全加固和系统更新;各企事业单位也可通过相关安全监测平台、资产管理设备,对相应系统进行持续监控,一旦发现有可疑攻击行为,可以直接通过相关系统阻断其恶意流量。
另外在技术层面上,我们建议如下:
- 对暴露在外的非必要端口进行关闭
- 对必要暴露的端口配置好认证措施反向代理加密通信白名单访问
- 及时更新设备的固件/软件
- 暂停使用过于老旧的失去维护的设备
0x04 时间线
2020-02-07 360CERT发布通告
0x05 参考链接
- 相关文件
- 2017年度安全报告--IoT安全威胁.pdf
閱讀更多 360CERT 的文章