导语:美国NewSky Security 安全公司近期发现6460多台装备了Lantronix公司生产的网络设备发生了 Telnet 密码被泄露的事故。

xDirect1-480x480.jpg

事件回顾

美国NewSky Security 安全公司近期发现6460多台装备了Lantronix公司生产的网络设备发生了 Telnet 密码被泄露的事故。根据安全研究人员的分析,如果这些Telnet 密码被攻击者得到,他们就可以借此针对连接的设备发动大规模网络攻击。

Lantronix公司提供工业级设备联网和远程IT管理解决方案,工业级设备联网模块包含嵌入式串口转以太网,串口转WiFi模块,嵌入式Linux串口模块,机架型多串口服务器等。据悉,本次发生事故的6000多台装备均被广泛用于连接工业控制系统,且都是老旧设备,只具备串行端口。经过调查,这些以太网服务器串口是转用于连接远程设备的接口,例如:产品UDS和xDirect可以轻松通过LAN 或WAN连接管理设备,从而实现与具备串行接口的任何设备进行以太网连接。

UD1100IA2-01-2T.png

如果是黑客看到这个消息,一定会赶紧查找这些设备的具体信息,以伺机发动攻击。登录Shodan,就会发现有48%设备信息已经被曝光了。

何为Shodan?

谷歌、百度等搜索引擎通过引用返回的内容进行检索,而Shodan则通过来自各种设备的HTTP header以及其它标志性信息进行检索。Shodan可以收集这些设备的信息,并根据其所属国家、操作系统、品牌以及许多其它属性进行分类。可以大致把谷歌、百度看做是网站内容搜索,而把Shodan看做是网络设备搜索。

最坏的攻击后果

攻击者不仅可以使用泄露的Telnet 密码控制相关设备,而且还能在获得特权访问后将串行命令发送到连接设备,除此之外,攻击者还可以通过在端口 30718 上发送一个格式错误的请求来检索 Lantronix 设备配置。

另外,研究人员在Metasploit渗透测试论坛上发现了一个 Lantronix 的“Telnet密码恢复” 模块,该模块可以通过配置端口(30718/udp,默认在Lantronix设备的旧版本上启用),检索从 Lantronix 串口到以太网设备所记录的全部安装设置,并以明文方式提取Telnet密码。经过分析,此次问题就出在这些老旧设备无法更新并运行新发布的升级补丁。

源链接

Hacking more

...