本周,黑客发布了51.5万多台服务器、家庭路由器和物联网“智能”设备的 Telnet 凭证列表。该列表发布在流行黑客论坛上,包括每台设备的 IP 地址以及 Telnet 服务的用户名和密码。该 Telnet 服务是远程访问协议,用于通过互联网控制设备。安全专家和泄露者均表示,泄露者扫描整个互联网扫描泄露 Telnet 端口而编译该列表,之后试图使用出厂设置的默认用户名和密码或自定义但易于猜测的密码组合。这些列表类型被称为“僵尸列表”,是物联网僵尸网络行动的通用组件。黑客扫描互联网构建僵尸列表,之后连接至设备并安装恶意软件。这些列表通常不公开,尽管有人曾泄露过,如2017年8月曾泄露3.3万台家庭路由器Telnet 凭证。这是迄今为止发生的最大规模的 Telnet 密码泄露事件。ZDNet表示,该列表是由DDoS 租赁服务的维护人员公开的。泄露者表示公布如此大规模“僵尸”列表的原因是,他将 DDoS 服务从物联网僵尸网络作业升级为依靠从云服务提供商租用高输出服务器的新模式。黑客泄露的所有列表信息日期为2019年10月至11月,其中某些设备目前可能在不同的 IP 地址运行或者使用不同的登录凭证。ZDnet表示并未使用任何用户名和密码组合访问任何设备,因此无法获悉有多少凭证是合法的。使用物联网搜索引擎如 BinaryEdge 和 Shodan 发现受影响设备遍布全球。其中一些设备位于已知的物联网服务提供商的网络上(说明设备或者为家庭路由器或者为物联网设备),不过其它设备位于主流云服务提供商网络上。一名匿名安全专家表示,因为设备可能已经更改了其 IP 地址或密码因此列表上的某些条目不再有效,但对于具有技术能力的攻击者而言,列表仍然非常有用。虽然配置有误的设备并非平均分散在互联网上,但通常集中在某个互联网服务提供商网络上,原因是互联网服务提供商在部署设备时导致配置出错。攻击者能够利用列表中的 IP 地址来判断服务提供商,之后重新扫描互联网服务提供商的网络更新最新的 IP 地址。ZDNet已和受信任的有经验安全研究人员分享了凭证列表,他们自愿联系并通知相关互联网服务提供商和服务器所有者。
https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。