近期,互联网上披露了有关“大量物联网设备存在弱口令漏洞”的相关情况。北京时间10月21日19:10左右,美国主要DNS服务提供商Dyn Inc.的服务器遭到大规模DDoS攻击,该攻击大部分流量来自于受恶意代码感染的物联网设备,导致美国东海岸地区的大量网站无法访问,引发全球范围的高度关注。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
一、事件概述
此次大规模DDoS攻击事件是由于大量摄像头、DVR以及互联网路由器等物联网设备存在弱口令漏洞,从而被攻击者利用,植入恶意代码、构建僵尸网络,而引发的大规模网络攻击,导致该服务器无法进行DNS解析,造成大量网站无法正常访问,其中受影响网站包括Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等知名网站。
二、事件解读
经分析,本次攻击与名为”Mirai”的恶意程序有关,该程序集成了大量的常见默认账号密码及特定设备的默认密码,可自动通过密码字典尝试连接物联网设备的远程控制端口(如telnet端口)。攻击者可利用上述攻击控制大量受影响设备组成僵尸网络,从而对其他正常网络设备进行DDoS攻击。
目前,CNNVD已发现互联网上公开了用户名和密码的受影响物联网设备列表如下:
三、对策建议
1. 建议雄迈科技、大华技术等受影响厂商对其市场中正在使用的设备进行安全排查,确保其未被感染,并及时更新固件、修补漏洞,关闭telnet端口、2323端口,以防后续二次感染。
2. 建议使用相关物联网设备的用户在产品使用前修改默认口令,增强口令的复杂度,以及在后续的使用过程中跟踪厂商针对使用中的设备的更新固件,及时将使用中的物联网设备固件升级至最新,消除物联网设备的安全隐患。
本报告由中国信息安全测评中心工控安全技术实验室、北京白帽汇科技有限公司、安天实验室提供支持。
CNNVD将继续跟踪上述事件,如有需要,可与CNNVD联系。
联系方式:cnnvd@itsec.gov.cn