事件回顧

美國 NewSky Security 安全公司近期發(fā)現(xiàn) 6460 多臺裝備了 Lantronix 公司生產(chǎn)的網(wǎng)絡(luò)設(shè)備發(fā)生了 Telnet 密碼被泄露的事故。根據(jù)安全研究人員的分析，如果這些 Telnet 密碼被攻擊者得到，他們就可以借此針對連接的設(shè)備發(fā)動大規(guī)模網(wǎng)絡(luò)攻擊。

[[213950]]

Lantronix 公司提供工業(yè)級設(shè)備聯(lián)網(wǎng)和遠程 IT 管理解決方案，工業(yè)級設(shè)備聯(lián)網(wǎng)模塊包含嵌入式串口轉(zhuǎn)以太網(wǎng) , 串口轉(zhuǎn) WiFi 模塊 , 嵌入式 Linux 串口模塊 , 機架型多串口服務(wù)器等。據(jù)悉，本次發(fā)生事故的 6000 多臺裝備均被廣泛用于連接工業(yè)控制系統(tǒng)，且都是老舊設(shè)備，只具備串行端口。經(jīng)過調(diào)查，這些以太網(wǎng)服務(wù)器串口是轉(zhuǎn)用于連接遠程設(shè)備的接口，例如：產(chǎn)品 UDS 和 xDirect 可以輕松通過 LAN 或 WAN 連接管理設(shè)備，從而實現(xiàn)與具備串行接口的任何設(shè)備進行以太網(wǎng)連接。

如果是黑客看到這個消息，一定會趕緊查找這些設(shè)備的具體信息，以伺機發(fā)動攻擊。登錄 Shodan，就會發(fā)現(xiàn)有 48% 設(shè)備信息已經(jīng)被曝光了。

何為 Shodan?

谷歌、百度等搜索引擎通過引用返回的內(nèi)容進行檢索，而 Shodan 則通過來自各種設(shè)備的 HTTP header 以及其它標志性信息進行檢索。Shodan 可以收集這些設(shè)備的信息，并根據(jù)其所屬國家、操作系統(tǒng)、品牌以及許多其它屬性進行分類?？梢源笾掳压雀?、百度看做是網(wǎng)站內(nèi)容搜索，而把 Shodan 看做是網(wǎng)絡(luò)設(shè)備搜索。

最壞的攻擊后果

攻擊者不僅可以使用泄露的 Telnet 密碼控制相關(guān)設(shè)備，而且還能在獲得特權(quán)訪問后將串行命令發(fā)送到連接設(shè)備，除此之外，攻擊者還可以通過在端口 30718 上發(fā)送一個格式錯誤的請求來檢索 Lantronix 設(shè)備配置。

另外，研究人員在 Metasploit 滲透測試論壇上發(fā)現(xiàn)了一個 Lantronix 的 "Telnet 密碼恢復(fù) " 模塊，該模塊可以通過配置端口(30718/udp，默認在 Lantronix 設(shè)備的舊版本上啟用)，檢索從 Lantronix 串口到以太網(wǎng)設(shè)備所記錄的全部安裝設(shè)置，并以明文方式提取 Telnet 密碼。經(jīng)過分析，此次問題就出在這些老舊設(shè)備無法更新并運行新發(fā)布的升級補丁。