La scarsa protezione delle porte mette a rischio milioni di dispositivi radio Web
Più di 1 milione di dispositivi radio Internet Imperial & Dabman potrebbero essere vittime di attacchi di esecuzione di codice in modalità remota (RCE) grazie a un servizio Telnet non documentato che utilizza deboli credenziali di accesso predefinite. Il difetto è emerso dopo che i ricercatori di Vulnerability Magazine (VM) hanno eseguito una scansione delle porte di routine di alcuni dispositivi. Soprannominato Telnetd, si è scoperto che il servizio era in esecuzione sulla porta 23. Poiché Telnetd si basa su credenziali di accesso relativamente deboli, può fungere da backdoor per un ampia varietà di minacce dannose.
Sommario
Password debole, ma comunque una password. È così male?
Pur avendo una password debole è meglio che non avere alcuna password, non è certo un motivo per tirare un sospiro di sollievo. Le password cadono continuamente in attacchi di forza bruta. Le password deboli possono essere neutralizzate nel giro di pochi minuti, mentre quelle forti possono rivelarsi notevolmente resilienti fino in fondo. Nel caso di Imperial & Dabman, Port 23 ha una protezione con password debole. Se gli aggressori riuscissero a infrangere questo passaggio, otterrebbero accesso a livello di amministratore al nucleo del sistema operativo BusyBox basato su Linux dei dispositivi. I ricercatori di VM hanno impiegato 10 minuti per interrompere il passaggio del servizio Telnet. Una volta dentro, hanno scoperto di aver acquisito accesso root. Se i criminali informatici ottenessero tale accesso, potrebbero potenzialmente fare un sacco di danni come:
- Elimina un payload dannoso
- Modifica flussi audio, file e cartelle
- Recupera la password Wi-Fi della rete domestica o aziendale del utente (a condizione che il dispositivo radio sia connesso a una, ovvero)
- Distribuire ransomware e altri script / strumenti dannosi tramite la rete domestica / aziendale Wi-Fi compromessa.
I pericoli sopra menzionati sono indicativi di tutte le implicazioni che una password debole può comportare nel peggiore dei casi. Questo è il motivo per cui la nuova vulnerabilità rilevata è ora disponibile nel database delle vulnerabilità e delle esposizioni comuni sotto CVE-2019-13473.
Per quanto riguarda ambito dei dispositivi interessati, è davvero così male. Per uno, le web radio Imperial & Dabman sono vendute da Telestar Digital GmbH in Germania. Tuttavia, sono disponibili anche su eBay e Amazon per utenti domestici e aziendali internazionali.
accesso amministratore ha permesso ai ricercatori di scavare un altra vulnerabilità
Dopo aver ottenuto accesso come amministratore tramite la Porta 23, i ricercatori di VM hanno riscontrato un secondo difetto nel client AirMusic di bordo dei dispositivi. La vulnerabilità in questione (CVE-2019-13474) potrebbe consentire esecuzione di codice in modalità remota se sfruttata. Il client AirMusic utilizza diverse porte (da 80 a 8080) per scambiare comandi con il suo servizio web. Alla fine, i ricercatori hanno impiegato un ora per assumere il pieno controllo della comunicazione web-client, inclusa opzione per lo streaming di messaggi personalizzati in streaming.
Simile alla Mirai Botnet
Il difetto dei dispositivi Imperial & Dabman proviene da una porta Telnet scarsamente protetta. Ironia della sorte, il famigerato Mirai Botnet è emerso con lo stesso criterio, aumentando la consapevolezza della sicurezza del IoT o della sua mancanza. Telestar Digital GmbH ha già adottato misure per far fronte al problema. Il servizio ridondante di Telnetd non è più attivo. Le patch binarie manuali possono essere scaricate gratuitamente dal sito Web del distributore oltre a un aggiornamento del firmware pronto per il Wi-Fi.