随着物联网设备的普及和智能化程度的提升,安防行业巨头Hikvision的产品因其广泛部署于全球范围内而成为攻击者重点盯防的目标。近年来,安全研究人员频繁观察到利用Hikvision系统漏洞的攻击活动,尤其是CVE-2021-36260这一命令注入漏洞,依旧在野外活跃,面对庞大的潜在攻击面,防范形势严峻。最新的研究揭示,攻击者在针对CVE-2021-36260的攻击手法中,出现了创新且令人瞩目的技术,即借助Linux系统中的“mount”命令来实现恶意二进制文件的下载与执行,极大提高了攻击效率和隐蔽性。CVE-2021-36260漏洞出现在Hikvision设备的/SDK/webLanguage端点,允许攻击者通过命令注入方式执行恶意操作。传统的攻击往往依赖系统内置的网络下载工具,如curl、wget、tftp等将恶意代码传递至设备,然而在受限的Hikvision系统里,这些工具普遍缺失或功能受限,导致攻击者不得不采用诸如printf分段写文件的方法,这不仅耗时长,且极易被安全防护机制侦测。针对这些限制,安全团队VulnCheck观察到一种新颖的利用思路:攻击者会利用mount命令将远程NFS(网络文件系统)共享挂载到本地目录下,随后直接在挂载点执行远程恶意脚本或二进制文件。
该方法在GTFOBins(可用于绕过限制的二进制工具集合)中虽未被广泛记录为文件下载手段,但凭借其能够将远程资源无缝挂载为本地目录的特性,使其成为绕过工具缺失限制的重要利器。攻击流程通常包括先创建一个本地目录,用mount指令挂载远程NFS共享目录,然后切换至该目录调整权限并执行恶意脚本,这一连串操作完全在CVE-2021-36260可控的注入范围之内。与以往利用printf逐字节写入payload的低效方式相比,mount挂载远程共享的方法大幅加快了恶意代码的植入速度和执行效率。此外,此举还能避免传统网络传输工具所带来的典型网络痕迹,从而逃避常见的IDS/IPS检测规则,增加了攻击的隐蔽性。科学的网络侦查工具Wireshark数据显示,一旦成功,该攻击流量会从HTTP请求切换至RPC端口及NFS协议数据流,准确反映mount行为背后的网络交互模式。对于防护者而言,需关注攻击链中异常的RPC及NFS流量,以及利用Suricata和Snort等安全工具部署针对CVE-2021-36260漏洞的特定规则。
快速识别攻击源头和阻断恶意流量,对于遏制该类攻击蔓延至关重要。研究者还指出,攻击者所使用的mount载荷对受害设备的固件版本有较为严格的依赖,尤其是受制于命令注入缓冲区大小的限制,因此并非所有设备皆可被成功攻击。实验中发现部分Hikvision设备因固件函数调用不同(snprintf与sprintf差异)导致攻击失败,暗示攻击者锐意选择了固件中命令注入缓冲区较大的版本作为主要目标。为了简化攻击准备,搭建一个支持NFS协议的共享环境也非常便捷。在Linux环境下,安装nfs-kernel-server,配置共享目录并启动相关服务即可为攻击者提供挂载源。这一代价相较于传统多步骤的payload注入流程显著降低了实施难度。
VulnCheck团队甚至将这一mount技术整合进自有开源利用框架go-exploit中,提升了模拟攻击和防御演练的真实性及覆盖面。通过自动化脚本将mount操作拆分成小片段注入,无论是渗透测试还是恶意攻击,都能高效复现该漏洞利用链。纵观当前的安全态势,Hikvision设备的命令执行漏洞因其广泛分布受到了高度关注。此番mount命令作为“远程文件下载执行”工具的创新用法,不仅彰显了攻击者的技术灵活性,也提醒安全从业者在构建防御策略时需不断更新威胁情报与检测规则。运营方应及时更新设备固件,关闭非必要的网络服务端口,并对异常的网络访问行为实施严格监控,阻断远程挂载请求。综合来看,该新兴利用方法突破了传统二进制文件植入效率的瓶颈,结合网络文件系统特性,在攻击链中发挥了出其不意的关键作用。
未来,随着攻防双方争夺态势的演进,预期类似利用系统核心功能以实现恶意目的的手段将逐渐增多,对设备安全加固提出更为严苛的挑战。通过及时掌握这类创新攻击技术原理及网络特征,相关安全团队才能更有效地识别、预警及响应,保障物联网及边缘设备的安全可信运行。
