• 标题: A Large-scale Empirical Study on the Vulnerability of Deployed IoT Devices
  • **作者:**Binbin Zhao, Shouling Ji, Wei-Han Lee, Changting Lin, Haiqin Weng, Jingzheng Wu, Pan Zhou, Liming Fang, Raheem Beyah
  • 关键字: IoT Search Engine, Vulnerable Device Assessment.
  • 来源: IEEE Trans. Dependable and Secure Comput.
  • **链接:**https://ieeexplore.ieee.org/document/9259111/
  • **引用:**Zhao, Binbin, Shouling Ji, Wei-Han Lee, Changting Lin, Haiqin Weng, Jingzheng Wu, Pan Zhou, Liming Fang, and Raheem Beyah. “A Large-Scale Empirical Study on the Vulnerability of Deployed IoT Devices.” IEEE Transactions on Dependable and Secure Computing, 2020, 1–1. https://doi.org/10.1109/TDSC.2020.3037908.

摘要

物联网 (IoT) 已变得无处不在,极大地影响了人们的日常生活。随着物联网设备的不断发展,相应的安全问题变得越来越具有挑战性。如此严峻的安全形势提出了以下需要紧急关注的问题:IoT 设备当前面临的主要安全威胁是什么?供应商和用户如何处理这些威胁? 本文旨在通过大规模的系统研究来回答这些关键问题。具体来说,我们对 1,362,906 台 IoT 设备的漏洞进行了为期 10 个月的实证研究,这些设备有六种类型。结果显示,Nday漏洞严重危及物联网设备的证据:385,060 (28.25%)设备至少存在一个Nday漏洞。此外,这些易受攻击的装置中,有2 669个可能受到僵尸网络的危害。我们进一步揭示了五个流行的物联网搜索引擎之间的巨大差异:Shodan [1],Censys [2], [3], Zoomeye [4], Fofa [5] 和NTI [6]。为了研究供应商和用户是否采取防御威胁的措施,我们测量 MQTT [7] 服务器的安全性,并确定 12,740 (88%)MQTT 服务器没有密码保护。我们的分析可以作为研究物联网设备安全性以及推进物联网系统更安全环境开发的重要指南。

介绍

现实问题

物联网设备很多,通过各种方式连接互联网。但是这些设备很多都有N-Day漏洞。自动更新可以解决此类问题,但是很多厂商没有给用户提供自动更新的方式。还由于错误的配置,很多物联网设备暴露在公网中。

待解决的问题

为了能对这些情况有着更深刻的理解,本文评价了这些物联网设备的安全性,目的是:

  1. 综合了解物联网设备当前安全状态
  2. 当前他们面临的主要挑战
  3. 厂商和用户如何处理这些挑战。

主要贡献

  1. 进行了第一次系统的研究,评估五个现有的流行物联网搜索引擎:shodan、Censys、Zoomeye、Fofa和NTI。揭示了它们在搜索能力、数据准确性、响应时间和扫描周期方面的重大差异,在此基础上,找出了每个物联网搜索引擎的合适应用范围,为物联网设备收集提供了有用的指南。

  2. 进行了迄今为止对 1*,362,906 台 IoT 设备和14,477 台 MQTT 服务器漏洞进行的最大实证研究。我们已经确定 385,060(28.25%)IoT 设备容易受到 N 天漏洞攻击,12,740 台设备(88%)MQTT 服务器没有密码保护。我们进一步透露, 2,*669台设备可能已经感染了僵尸网络。此外,我们确认大多数易受攻击的设备主要位于少数国家(如美国和中国)的物联网设备安全性的地理差异。

背景知识

物联网搜索引擎

传统的谷歌、必应等搜索引擎针对设备的搜索并不友好。在2019年,shodan推出了最早的针对设备的搜索引擎。随后Censys、Zoomeye、Fofa和NTI也纷纷出世。安全研究人员和攻击者可以使用这些 IoT 搜索引擎了解 IoT 设备的组件覆盖范围和漏洞的威胁范围。

shodan

Shodan 是世界第一个用于互联网连接设备的搜索引擎。世界各地的大型企业和安全研究人员都使用 Shodan。它部署遍布全球的多个服务器,这些服务器通过 Internet 提供 24*7 的连续检测。由于正在进行的扫描,Shodan 提供最新的 Internet 智能,用户可以知道特定组件的影响或漏洞影响在 Internet 规模。Shodan 还为用户提供公共 API,帮助用户更方便地访问 Shodan 的所有数据。

Censys

Censys 是一个平台,可帮助信息安全从业者发现和分析可从 Internet 访问的 IoT 设备。Zakir等人于2015年发布了Censys的第一个版本,现在一个团队包括世界领先的互联网安全专家,正在支持这个搜索引擎。在过去的五年里,Censys 已经进行了数千次互联网扫描,其中包括数万亿个探测器,这些探测器在发现和分析几个严重的互联网规模漏洞方面发挥了重要作用:FREAK、心脏滴血漏洞 和 Mirai病毒。

Zoomeye

Zoomeye是中国的网络空间搜索引擎,专门记录设备、网站、服务和组件等的信息。Zoomeye 拥有两个强大的检测引擎 Xmap 和 Wmap,分别针对网络空间中的设备和网站。安全研究人员可以通过 24/7 连续检测来识别 IoT 设备。Zoomeye 专为互联网规模的威胁检测和态势感知而设计。

Fofa

Fofa 是 IoT 设备的搜索引擎,旨在以安全且保护隐私的方式使真实世界的数据可访问且可操作。Fofa 为其 VIP 用户提供一个漏洞市场,其中包含从 N 天漏洞的 PoC 生成的数千个脚本。用户可以购买这些脚本,并利用它们来评估 IoT 设备的安全性。

NTI

NTI 是一个非营利性搜索引擎,但尚未公开开放,现在由 NSFOCUS 支持 [6]。NTI 在 2018 年检测到数千台僵尸网络命令和控制服务器和数百万台受感染的主机。此外,NTI 每年对 IoT 安全状态进行调查。

这五个物联网搜索引擎都能够在短时间内扫描整个 IPv4 公共互联网。它们之间的显著差异是它们不同的扫描周期、扫描策略、他们收集的 IoT 设备横幅信息量以及保存数据的准确率。在第 3.2 节中,我们演示了这五个 IoT 搜索引擎的比较结果。除了上述五个物联网搜索引擎外,还有另外两个物联网搜索引擎,Thingful 和 IoT 爬虫。Thingful 提供的数据主要用于商业目的,而不是安全研究,物联网爬网程序仍在开发中。因此,在我们的测试中不考虑这两个 IoT 搜索引擎。

物联网安全挑战

物联网的安全挑战

配置错误

在 IoT 搜索引擎的帮助下,收集数百万连接到 Internet 的 IoT 设备并不难。例如,使用简单的关键字路由器,人们可以从 Zoomeye 获得自 2018 年以来收集的超过 1000 万条相关记录。大多数暴露的 IoT 设备的关键原因是这些设备所有者配置错误。由于安全意识有限或计算机网络知识有限,大量用户可能在不知不觉中打开广域网 (WAN) 或配置 NAT-DDNS,而无需任何保护。然而,由于搜索引擎每年可以收集数以亿计的新暴露的 IoT 设备,因此情况变得越来越严重。例如,Zoomeye 自成立以来已收集了超过 10 亿台 IoT 设备。因此,配置错误是物联网设备当前面临的最严峻挑战之一。

默认凭据

默认凭据。大多数供应商都为他们的设备提供默认帐户和密码,但是,这可能对 IoT 设备的安全构成新的威胁。它留下了隐藏的主要危险源。例如,最臭名昭著的僵尸网络 Mirai 利用默认密码影响数百万台 IoT 设备。事实上,默认凭据是一个普遍存在的安全问题,它不限于 IoT 设备。虽然这个安全问题已经存在这么多年了,但我们没有看到任何缓解的趋势。同时,令人惊讶的是,供应商很少提供对策来缓解这一严重问题。

漏洞攻击

0day漏洞攻击和 N-day漏洞攻击严重危及所有 IoT 设备的安全。彻底解决零日漏洞是不现实的,因为开发人员无法避免该错误,即使他们在编程和代码审核方面非常谨慎。供应商已经采取了多种策略来缓解此问题。例如,他们在世界各地部署蜜罐,可以捕获野外的零日漏洞,一些供应商选择不披露他们的固件,因为黑客可以反编译固件,以发现缺陷。然而,这些对策是非常低效的,因为蜜罐需要被动地等待攻击,黑客可以通过其他方法获得固件。此外,传统的模糊方法不能直接应用于物联网固件。虽然公众更加关注0-day漏洞,但 N-day漏洞实际上给 IoT 设备带来了严重风险。N 天漏洞是黑客的金矿,因为这些漏洞的利用已经为人所知。在物联网搜索引擎的帮助下,黑客可以使用 N 天漏洞轻松通过互联网攻击暴露的设备。

评价方法设置

从网络空间测绘引擎搜索这些设备。Shodan, Censys, Zoomeye, Fofa and NTI。

评价这些物联网设备,使用了73种已知的N-day漏洞。讨论结果和位置的关系。

最终收集了8*,554,*183个物联网设备,包含1,362,906个可能存在漏洞的设备。

另外,还测试发现了14477 MQTT 服务器未包含密码保护。

设备选择

路由器、IP 摄像机和打印机

实验评估

数据集

实验方法

实验效果

讨论

总结

作者介绍

收获

本文优势

可扩展结合的点

论文评价

评分: ⭐⭐⭐⭐⭐

评价:

参考资料及附件