2016年IOT设备漏洞情况统计简报CNVD.PDFVIP

2016年IOT设备漏洞情况统计简报(CNVD) 近年来，随着智能手机、可穿戴设备、活动追踪器、无线网络、 智能汽车、智能家居等终端设备和网络设备的迅速发展和普及利用， 针对IOT设备的网络攻击事件比例呈上升趋势，攻击者利用IOT设备 漏洞可导致设备拒绝服务、获取设备控制权限进而形成大规模恶意代 码控制网络，或用于用户信息数据窃取、网络流量劫持等其他黑客地 下产业交易。国家信息安全漏洞共享平台（以下简称CNVD）对2016 年收录的IOT设备漏洞 （含通用软硬件漏洞以及针对具体目标系统的 事件型漏洞）进行了统计，相关情况简报如下： 一、IOT设备通用漏洞按厂商排名 2016年CNVD收录IOT设备漏洞1117个，漏洞涉及Cisco、Huawei、 Google、Moxa 等厂商。其中，传统网络设备厂商思科（Cisco）设备 漏洞356条，占全年IOT设备漏洞的32% ；华为（Huawei ）位列第二， 共收录155条；安卓系统提供商谷歌（Google）位列第三，工业设备 产品提供厂商摩莎科技 （Moxa ）、西门子（Siemens）分列第四和第 五。 IOT设备漏洞数量TOP厂商排名 400 356 350 300 250 200 155 150 76 100 44 43 32 24 22 19 19 50 0 图 1 IOT设备漏洞数量TOP厂商排名(来源：CNVD) 二、IOT设备通用漏洞按风险技术类型分布 2016年CNVD收录IOT设备漏洞类型分别为权限绕过、拒绝服务、 信息泄露、跨站、命令执行、缓冲区溢出、SQL注入、弱口令、设计 缺陷等漏洞。其中，权限绕过、拒绝服务、信息泄露漏洞数量位列前 三，分别占收录漏洞总数的23% ，19% ，13%。而对于弱口令（或内 臵默认口令）漏洞，虽然在统计比例中漏洞条数占比不大（2%）， 但实际影响却十分广泛，成为恶意代码攻击利用的重要风险点。 按漏洞类型TOP分布 信息泄露 跨站 命令执行 13% 12% 9% 拒绝服务 19% 缓冲区溢出 6% 权限绕过 23% 其他 SQL注入 10% 5% 弱口令 2% 设计缺陷 1% 图 2 按漏洞类型TOP分布 三、IOT设备通用漏洞按设备标签类型分布 2016年CNVD公开收录1117个IOT设备漏洞中，影响设备的类型