关键信息基础设施网络安全（物联网安全专题）监测月报202107期

#关键信息基础设施网络安全

18个

概述

根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述，关键信息基础设施（Critical Information Infrastructure，CII）是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

随着“新基建”、“工业互联网”等战略的快速推进以及Lora、NB-IOT、eMTC、5G等技术的快速发展，物联网与关键信息基础设施已开始深度融合，在提高行业的运行效率和便捷性的同时，也面临严峻的网络安全和数据安全挑战。因此，亟需对关键信息基础设施的物联网安全问题加以重视和防护。

CNCERT依托宏观数据，对关键信息基础设施中的物联网网络安全和数据安全等方面的问题进行专项监测，以下是本月的监测情况。

物联网终端设备监测情况

2.1活跃物联网设备监测情况

本月对物联网设备的抽样监测显示，国内活跃物联网设备数624182台，包括工业控制设备、视频监控设备、网络存储设备(NAS)、网络交换设备、串口服务器、打印机等21个大类，涉及西门子、罗克韦尔、欧姆龙、海康威视、大华、思科等46个主流厂商。

在本月所发现的活跃物联网设备中，判别疑似物联网蜜罐设备103个，蜜罐伪装成可编程逻辑控制器、视频监控设备等设备，仿真了HTTP、SNMP、S7Comm、Modbus、BACnet等常用协议。实际活跃的物联网设备624079台分布在全国各个省份，重点分布在广东、浙江、江苏等省份。各省份设备数量分布情况如图1所示。

图1 活跃物联网设备省份分布

2.2特定类型物联网设备重点分析

在发现的活跃物联网设备中，本月针对对工业控制设备开展重点分析。国内活跃工控设备1471台，包括可编程逻辑控制器、工业交换机、串口服务器、通信适配器等14种类型，涉及西门子、罗克韦尔、施耐德、霍尼韦尔、欧姆龙等22个主流厂商。

在本月所发现的工控设备中，基于资产的的Banner信息和ISP归属信息等进行综合研判，识别疑似蜜罐设备50个，占比3.4 %，仿真协议包括Modbus、S7Comm、SNMP和EtherNetIP等，典型蜜罐特征如表1所示。

表1工控设备蜜罐特征

以设备101.200.*.10为例，设备监测信息如表2和图2所示。判定该资产为蜜罐仿真设备的原因主要是：1）资产IP所属运营商为国内某公有云。

表2 106.14.*.121设备监测信息

图2 101.200.*.10设备端口开放信息

去除占比3.4%的工控设备蜜罐，本月实际监测发现活跃工控设备1421台。对这些设备进行漏洞识别，151台设备识别到安全风险，包括高危漏洞设备73台和中危漏洞设备78台。这些具有漏洞的工控设备主要分布在江苏、广东、安徽等19个省份，详细的设备省份分布如图3所示。

图3 具有漏洞的工控设备省份分布

扫描探测组织活动监测情况

3.1扫描探测组织活跃性分析

本月监测发现来自Shodan、ShadowServer和密歇根大学等扫描探测组织的403个探测节点针对境内8358万个IP发起探测活动，探测事件总计20053万余起，涉及探测目标端口24169余个，境内IP地址分布于33个省级行政区，以北京、上海、广东等省市居多。重点组织的探测活动情况如表3所示。

表3 重点组织的探测活跃情况

监测发现的403个探测组织活跃节点，分别包括Shodan探测节点41个、Shadowserver探测节点287个、Umich探测节点65个和Rapid7探测节点10个，主要分布在美国、荷兰、冰岛等地区，详细的地理位置分布如图4所示。

图4 探测组织活跃节点地理位置分布

按照探测组织节点活跃情况进行排序，表3为最活跃的10个节点信息，主要是Shodan和Shadowserver组织的节点，这十个节点的探测事件数达15526万起，占总事件的77.42%。

表4 探测组织活跃节点Top10

3.2探测组织行为重点分析——Shodan组织

为详细了解探测组织的探测行为，本月对Shadowserver组织的探测行为进行了重点监测分析。

( 1 ) UMich探测节点整体活动情况

监测发现UMich组织活跃节点65个，探测事件40535起，探测目标端口4595个，目标涉及境内1889个IP地址，覆盖全国30个省级行政区。监测发现的最为活跃节点信息如表5所示。

表5 UMich探测节点活跃度Top排序

( 2 ) UMich探测节点时间行为分析

图5为UMich活跃节点按天的活跃热度图。首先，从节点每天探测数据趋势可以看出，每个节点的活跃度相对稳定，基本保持在同一个数量级下；其次，不同节点的探测活跃度存在一定程度的差异，探测活跃高的节点日探测事件为上千起，而探测活跃低的节点日探测事件为几起或几十起。对比4月份关键信息基础设施网络安全监测月报中针对UMich组织的行为分析可以看出，探测节点时间行为分析规律与前期分析结果基本保持一致。

图5 UMich节点日活跃热度图

( 3 ) UMich 探测节点协议行为分析

图6为UMich节点按协议统计的探测行为热度图。从图中可以看出如下几点特征：第一，对于多数节点而言，针对同一协议的探测频率分布差异比较明显，如针对HTTP协议的探测，节点141.212.122.81探测事件高达千余起，而节点141.212.122.126探测事件仅有43起；第二，同一节点针对不同协议的探测频度不同，多数节点的探测事件主要分布在HTTP协议；第三，对比不同协议的被探测频率，整体来讲，针对传统IT类协议的探测频度占比较高，且协议分布比较集中，多数节点重点探测的协议均为FTP、DNS、HTTP和HTTPS协议。

图6 UMich 节点协议探测频度热度图

重点行业物联网网络安全

4.1物联网行业安全概述

为了解重点行业物联网网络安全态势，本月筛选了电力、石油、车联网和轨道交通等行业的2396个资产（含物联网设备及物联网相关的web资产）进行监测。监测发现，本月遭受攻击的资产有1096个，主要分布在北京、广东、浙江、四川、上海等32个省份，涉及攻击事件19988起。其中，各行业被攻击资产数量及攻击事件分布如表6所示，被攻击资产的省份分布如图7所示。

表6 行业资产及攻击事件分布

图7 重点行业被攻击资产的省份分布

对上述网络攻击事件进行分析，境外攻击源涉及美国、韩国等在内的国家66个，攻击节点数总计3033个。其中，按照攻击事件源IP的国家分布，排名前5分别为美国（9932起）、韩国（1103起）、南非（887起）、俄罗斯（799起）和印度（537起）。

对网络攻击事件的类型进行分析，本月面向行业资产的网络攻击中，攻击类型涵盖了远程代码执行攻击、命令执行攻击、SQL注入攻击、漏洞利用攻击、扫描攻击等。详细的攻击类型分布如图 8所示。

图8 物联网行业资产攻击类型分布

4.2特定攻击类型分析

在针对重点行业物联网资产的网络攻击事件中，本月重点分析了DedeCMS 5.7 sys_verifies.php远程代码执行漏洞攻击（CVE-2018-9174），涉及攻击事件801起。

漏洞分析：织梦内容管理系统(DedeCms)是国内一款基于PHP+MySQL的技术开发的，支持多种服务器平台的PHP网站内容管理系统。DesdevDedeCMS5.7版本中的sys_verifies.php文件存在安全漏洞，该漏洞源于攻击者可控制modifytmp.inc文件的内容，远程攻击者可借助‘refiles’数组参数利用该漏洞执行任意的PHP代码。

攻击者可以通过如下步骤复现漏洞。

1）构造payload：

sys_verifies.php?action=getfiles&refiles[0]=123&refiles[1]=

%22;eval($_GET[a]);die()；

2）将payload拼接在url后并执行

3）再构造payload并执行：

sys_verifies.php?action=down&a=phpinfo();

本月攻击事件中DedeCMS 5.7 sys_verifies.php远程代码执行漏洞攻击示例如图9所示。如图可以看出，攻击执行方式与漏洞背景分析一致，攻击者向目标站点url发送构造的特定payload请求尝试进行攻击。

图9 DedeCMS 5.7 sys_verifies.php远程代码执行漏洞攻击示例

4.3物联网资产数据流转情况

针对重点行业物联网资产的数据流转情况进行监测，本月共有2240个行业资产存在与境外节点的通信行为，通信频次为36855万次。通联境外国家Top10排名如图10所示，其中排名最高的是美国（通信15229万次，节点206万个）。各行业通联事件及资产数量分布如图11所示，其中通信频次最多的为电力行业，涉及1635个资产的28313万余次通信。