绿盟科技：2020物联网安全年报（65页）.pdf

《绿盟科技：2020物联网安全年报（65页）.pdf》由会员分享，可在线阅读，更多相关《绿盟科技：2020物联网安全年报（65页）.pdf（65页珍藏版）》请在三个皮匠报告上搜索。

1、1.7.3事件分析BIAS 是第一个被披露的与蓝牙身份验证、连接降级相关的安全问题。因为蓝牙连接的建立不需要用户交互，因此攻击非常隐蔽，危害性很大，尽管蓝牙 SIG 小组已经更新蓝牙核心规范来缓解这一漏洞，但用户仍需谨慎，并持续关注厂商是否推出固件或软件补丁等修复措施。1.8DHDiscover ：可放大近 200 倍的新型反射攻击1.8.1事件回顾2020 年 3 月，腾讯发布了一篇关于某 DVR 被用于反射攻击的文章 4。在该次攻击事件中，攻击者采用了一种新的 UDP 反射攻击方法，利用的是某视频监控厂商的设备发现服务(因其探测报文中包含DHDiscover 字符串，因此，我们将其称之为

2、DHDiscover 服务)。本次攻击流量规模超过 50Gbps，反射源区域分布集中于美洲，亚洲，欧洲的众多国家和地区，尤其以韩国、巴西为重灾区。1.8.2原理简述类似 WS-Discovery 服务，DHDiscover 被用于局域网内的设备发现，但是因为设备厂商的设计不当，当一个外部 IP 地址发送服务发现单播报文时，设备也会对其进行回应，加之设备暴露在互联网上，则可被攻击者用于 DDoS 反射攻击。DHDiscover 服务对应的端口号为 37810。DHDiscover 服务探测报文长度为 62 字节，设备返回的内容中可以看到关于设备的很多信息，如 MAC 地址、设备类型、设备型号、

3、HTTP Port、设备序列号、设备版本号等。我们对 DHDiscover 反射攻击 5 进行了跟踪，发现全球有约 31 万个 IP 开放了 DHDiscover 服务，存在被利用进行 DDoS 攻击的风险，其带宽放大因子近 200 倍。1.8.3事件分析反射攻击存在已久，随着防护能力的增强，攻击者的攻击手段也在发生变化，并将注意力放在了些新的协议上。继去年的 WS-Discovery 反射攻击之后，DHDiscover 反射攻击成为今年出现的一种新的攻击方法。这两个协议都与设备发现有关，需要引起大家的重视。由于 DHDiscover 服务暴露数量较多，因此，我们也与相关厂商进行了联系。厂商给我们的反馈是，其已经在产品中提供了 Discovery 启用和关闭功能，但是由于出厂时并不知道客户在互联网还是受限网络部署设备，因此默认这个功能是开启的，但客户可以选择将这个功能关闭，或者根据实际需求配置防火墙规则。这种方案依赖于用户的主动介入进行配置，考虑到大量物联网设备运行时几乎没有安全运维，所以其效果有限。设备发现类协议设计的初衷是方便局域网内的设备发现，所以，一般在进行设备发现时，采用的是多播地址。因此，我们认为比较理想的设备发现报文回复策略为：