《绿盟科技:2020物联网安全年报(65页).pdf》由会员分享,可在线阅读,更多相关《绿盟科技:2020物联网安全年报(65页).pdf(65页珍藏版)》请在三个皮匠报告上搜索。
1、1.7.3事件分析BIAS 是第一个被披露的与蓝牙身份验证、连接降级相关的安全问题。因为蓝牙连接的建立不需要用户交互,因此攻击非常隐蔽,危害性很大,尽管蓝牙 SIG 小组已经更新蓝牙核心规范来缓解这一漏洞,但用户仍需谨慎,并持续关注厂商是否推出固件或软件补丁等修复措施。1.8DHDiscover :可放大近 200 倍的新型反射攻击1.8.1事件回顾2020 年 3 月,腾讯发布了一篇关于某 DVR 被用于反射攻击的文章 4。在该次攻击事件中,攻击者采用了一种新的 UDP 反射攻击方法,利用的是某视频监控厂商的设备发现服务(因其探测报文中包含DHDiscover 字符串,因此,我们将其称之为
2、DHDiscover 服务)。本次攻击流量规模超过 50Gbps,反射源区域分布集中于美洲,亚洲,欧洲的众多国家和地区,尤其以韩国、巴西为重灾区。1.8.2原理简述类似 WS-Discovery 服务,DHDiscover 被用于局域网内的设备发现,但是因为设备厂商的设计不当,当一个外部 IP 地址发送服务发现单播报文时,设备也会对其进行回应,加之设备暴露在互联网上,则可被攻击者用于 DDoS 反射攻击。DHDiscover 服务对应的端口号为 37810。DHDiscover 服务探测报文长度为 62 字节,设备返回的内容中可以看到关于设备的很多信息,如 MAC 地址、设备类型、设备型号、
3、HTTP Port、设备序列号、设备版本号等。我们对 DHDiscover 反射攻击 5 进行了跟踪,发现全球有约 31 万个 IP 开放了 DHDiscover 服务,存在被利用进行 DDoS 攻击的风险,其带宽放大因子近 200 倍。1.8.3事件分析反射攻击存在已久,随着防护能力的增强,攻击者的攻击手段也在发生变化,并将注意力放在了些新的协议上。继去年的 WS-Discovery 反射攻击之后,DHDiscover 反射攻击成为今年出现的一种新的攻击方法。这两个协议都与设备发现有关,需要引起大家的重视。由于 DHDiscover 服务暴露数量较多,因此,我们也与相关厂商进行了联系。厂商给我们的反馈是,其已经在产品中提供了 Discovery 启用和关闭功能,但是由于出厂时并不知道客户在互联网还是受限网络部署设备,因此默认这个功能是开启的,但客户可以选择将这个功能关闭,或者根据实际需求配置防火墙规则。这种方案依赖于用户的主动介入进行配置,考虑到大量物联网设备运行时几乎没有安全运维,所以其效果有限。设备发现类协议设计的初衷是方便局域网内的设备发现,所以,一般在进行设备发现时,采用的是多播地址。因此,我们认为比较理想的设备发现报文回复策略为: