Proteção de porta ruim coloca milhões de dispositivos de rádio na Web em risco
Mais de 1 milhão de dispositivos de rádio da Internet da Imperial & Dabman poderiam ser vítimas de ataques de execução remota de código (RCE) graças a um serviço Telnet não documentado, usando credenciais de login padrão fracas. A falha veio à tona depois que os pesquisadores da Vulnerability Magazine (VM) realizaram uma verificação de porta de rotina de alguns dispositivos. Apelidado de Telnetd, o serviço foi executado na porta 23. Como o Telnetd depende de credenciais de logon relativamente fracas, ele pode servir como um backdoor para uma ampla variedade de ameaças maliciosas.
Índice
Senha fraca, mas ainda uma senha. Isso e ruim?
Embora ter uma senha fraca seja melhor do que não ter uma senha, dificilmente é um motivo para dar um suspiro de alívio. As senhas são vítimas de ataques de força bruta o tempo todo. Senhas fracas podem ser neutralizadas em questão de minutos, enquanto senhas fortes podem ser notavelmente resistentes por todo o caminho. No caso da Imperial & Dabman, a porta 23 possui uma proteção de senha fraca. Se os invasores conseguissem decifrar esse passe, obteriam acesso no nível de administrador ao núcleo do BusyBox OS baseado em Linux dos dispositivos. Os pesquisadores da VM levaram 10 minutos para quebrar o passe de serviço Telnet. Uma vez dentro, eles descobriram que haviam adquirido acesso root. Se os cibercriminosos obtenham esse acesso, eles podem causar muitos danos, como:
- Solte uma carga maliciosa
- Edite fluxos de áudio, arquivos e pastas
- Recupere a senha de wi-fi da rede doméstica ou corporativa do usuário (desde que o dispositivo de rádio esteja conectado a um, ou seja)
- Distribua ransomware e outros scripts / ferramentas maliciosas por meio da rede doméstica / corporativa wi-fi comprometida.
Os perigos mencionados acima são indicativos de todas as implicações que uma senha fraca pode trazer no pior cenário. É por isso que a nova vulnerabilidade encontrada agora está disponível no banco de dados de vulnerabilidades e exposições comuns, sob CVE-2019-13473.
No que diz respeito ao escopo dos dispositivos afetados, é realmente MUITO ruim. Por um lado, os rádios da Imperial & Dabman são vendidos pela Telestar Digital GmbH na Alemanha. No entanto, eles também estão disponíveis no eBay e Amazon para usuários domésticos e corporativos internacionais.
O acesso de administrador permitiu que pesquisadores pesquisassem outra vulnerabilidade
Tendo obtido acesso de administrador via porta 23, os pesquisadores da VM encontraram uma segunda falha no cliente AirMusic a bordo dos dispositivos. A vulnerabilidade em questão (CVE-2019-13474) pode permitir a execução remota de código se explorada. O cliente AirMusic usa várias portas (80 a 8080) para trocar comandos com seu serviço da web. Como se viu, os pesquisadores levaram uma hora para assumir o controle total da comunicação entre o cliente da Web, incluindo a opção de transmitir mensagens personalizadas de transmissão ao vivo.
Semelhante ao botnet Mirai
A falha nos dispositivos Imperial & Dabman se originou de uma porta Telnet mal protegida. Ironicamente, o notório Mirai Botnet surgiu da mesma maneira, aumentando a conscientização sobre a segurança da Internet das coisas ou a falta dela. A Telestar Digital GmbH já tomou medidas para lidar com o problema. O serviço Telnetd redundante não está mais ativo. Os patches binários manuais podem ser baixados gratuitamente no site do distribuidor, além de uma atualização de firmware pronta para wi-fi.