绿盟威胁情报中心报告:疫情期间境外黑客发起对我国网络攻击案例

近日,全国上下正处于抗击疫情的关键时期,境外黑客组织却声称对我国大量网络安全设备及网站实施网络攻击。绿盟威胁情报中心根据黑客发表的网络链接进行持续监测和分析,发现部分网站并未有被入侵的证据,但也有部分网站已无法访问。绿盟威胁情报中心将此次被攻击的行为和潜在安全隐患进行上报,并提醒相关政企单位采取措施。

一、攻击目标1:物联网设备

不久前,境外黑客组织宣称已掌握我国境内大量摄像头控制权限,并在Pastebin网站上公开了部分受控目标。绿盟威胁情报中心对黑客发表的物联网设备进行持续监控,并未发现实质性的攻击。针对全国暴露在互联网的视频监控系统进行网络空间测绘后,绿盟威胁情报中心发现,全国有159万视频设备暴露在互联网上。

随着近几年物联网的飞速发展,物联网相关设备的类型越来越多,物联网设备的厂商众多、类型丰富、安全防御措施少,逐渐成为黑客青睐的攻击对象。借此,绿盟君提醒广大用户关注自己的视频设备,及时进行资产梳理并采取相应的防御措施。

绿盟科技提供基于威胁情报的互联网资产核查服务,可辅助用户对暴露在互联网上的服务器、网络设备、视频监控设备进行资产识别和梳理。若非业务需要,请大家关闭不必要的网络服务和端口,尤其是可以远程控制的端口。对所有的设备初始密码都要尽快更换,避免空口令或弱口令。对于联网设备的访问控制界面,建议修改默认的管理端口。在网络出入口设置防火墙、入侵防御系统等网络安全设备,对不必要的境外通讯予以阻断。另外,要与物联网供应商建立联动机制,及时关注相关产品漏洞公告,一旦发现漏洞,及时更新最新补丁及固件。同时建立网络安全应急处置机制,启用网络和运行日志审计,及时发现攻击风险,及时处理。最后,要做好数据备份,以备万一。

二、攻击目标2:政府、企业官网

境外黑客组织发布的入侵对象中包括国内多个政府、企业官网。绿盟科技威胁情报中心对这些网站进行了持续的监测。经查验发现,由于某著名汽车品牌官网的某个子目录的配置错误,导致php文件没有被成功解析,从而可以直接看到源代码。此次被入侵的后果直接导致了该品牌国内官网包括数据库主机,账号,密码以及源代码文件在内的信息被泄露。

针对政府、企业官网的防护,绿盟君建议可暂时阻断外网防火墙上访问,先对配置错误问题进行修复,之后进行漏洞扫描,确认问题彻底被修复后再进行放行。对于删除DNS解析的网站,建议同时下线相关服务器。对于已经下线的网站,务必做好安全检查后再上线,否则会面临被黑客再次入侵的风险。

三、攻击目标3:Hadoop数据库

此外,在黑客公开发表的攻击目标中不乏国内多个互联网巨头和电信网站的Hadoop数据库。绿盟威胁情报中心对允许非授权访问的几个链接进行了详细分析,由于攻击目标间无关联性,绿盟君猜测黑客组织对暴露在互联网的未进行严格安全配置的Hadoop服务进行了扫描探测和攻击利用。

网络公司的Hadoop数据库的防护,则需要特别注意。如果没有业务需要,一定要关闭Hadoop Web管理页面,并且要开启Hadoop服务级别身份验证,如Kerberos认证。同时,部署Knox、Nginx之类的反向代理系统,防止未经授权用户访问。设置“安全组”访问控制策略,将Hadoop默认开放的多个端口对公网全部禁止或限制可信任的IP地址才能访问50070以及WebUI等相关端口。

当前是我国防控疫情最为关键的时期,大量企业单位尚未复工或将重点工作放在防疫上,黑客利用我国部分政企单位网络安全戒备松懈的时期,对我国大量网站及数据库实施攻击,其居心叵测令人深思。但这也提醒我们,网络安全须时时保持警惕、刻刻不容忽视。面对以上攻击威胁,绿盟科技除针对web端的WAF、websafe服务支持外,还提供多种方案协助用户解决互联网视频设备安全问题:

1、提供视频安全态势感知平台,该平台能够主动识别互联网暴露的资产,同时可以通过流量分析被动识别视频监控设备,形成视频监控设备资产画像。通过大数据平台能力,对网络安全状况进行综合分析与评估,对视频监控设备进行威胁检测,异常行为分析,并进行威胁追踪和攻击溯源,全面掌握视频监控设备安全威胁态势。

2、提供物联网准入网关,对视频监控设备进行安全防护。能主动扫描摄像头资产、监测对非法外联行为、探测漏洞和弱口令。

3、提供物联网固件安全评估系统,通过分析视频监控设备的固件,帮助企业快速发现视频监控设备中可能存在的漏洞,提供专业的安全分析能力,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露,保障视频监控设备的安全性。