事件回顾
美国 NewSky Security 安全公司近期发现 6460 多台装备了 Lantronix 公司生产的网络设备发生了 Telnet 密码被泄露的事故。根据安全研究人员的分析,如果这些 Telnet 密码被攻击者得到,他们就可以借此针对连接的设备发动大规模网络攻击。
Lantronix 公司提供工业级设备联网和远程 IT 管理解决方案,工业级设备联网模块包含嵌入式串口转以太网 , 串口转 WiFi 模块 , 嵌入式 Linux 串口模块 , 机架型多串口服务器等。据悉,本次发生事故的 6000 多台装备均被广泛用于连接工业控制系统,且都是老旧设备,只具备串行端口。经过调查,这些以太网服务器串口是转用于连接远程设备的接口,例如:产品 UDS 和 xDirect 可以轻松通过 LAN 或 WAN 连接管理设备,从而实现与具备串行接口的任何设备进行以太网连接。
如果是黑客看到这个消息,一定会赶紧查找这些设备的具体信息,以伺机发动攻击。登录 Shodan,就会发现有 48% 设备信息已经被曝光了。
何为 Shodan?
谷歌、百度等搜索引擎通过引用返回的内容进行检索,而 Shodan 则通过来自各种设备的 HTTP header 以及其它标志性信息进行检索。Shodan 可以收集这些设备的信息,并根据其所属国家、操作系统、品牌以及许多其它属性进行分类。可以大致把谷歌、百度看做是网站内容搜索,而把 Shodan 看做是网络设备搜索。
最坏的攻击后果
攻击者不仅可以使用泄露的 Telnet 密码控制相关设备,而且还能在获得特权访问后将串行命令发送到连接设备,除此之外,攻击者还可以通过在端口 30718 上发送一个格式错误的请求来检索 Lantronix 设备配置。
另外,研究人员在 Metasploit 渗透测试论坛上发现了一个 Lantronix 的 "Telnet 密码恢复 " 模块,该模块可以通过配置端口(30718/udp,默认在 Lantronix 设备的旧版本上启用),检索从 Lantronix 串口到以太网设备所记录的全部安装设置,并以明文方式提取 Telnet 密码。经过分析,此次问题就出在这些老旧设备无法更新并运行新发布的升级补丁。