端口保护不佳使数百万个Web无线电设备面临风险

网络广播设备用户面临风险得益于无证的Telnet服务(使用微弱的默认登录凭据),超过一百万个Imperial&Dabman Internet无线电设备可能成为远程代码执行(RCE)攻击的牺牲品。在《漏洞杂志》(VM)的研究人员对少数设备进行例行端口扫描后,该缺陷就暴露出来了。被称为Telnetd的服务被发现运行在端口23上。由于Telnetd依赖于相对较弱的登录凭据,因此它可能充当各种恶意威胁的后门。

密码不足,但仍然是密码。不好吗?

虽然拥有弱密码总比没有密码好,但这几乎没有理由松一口气。密码一直都是暴力攻击的牺牲品。弱密码可能会在几分钟之内消失,而强密码可能会在整个过程中表现出极大的弹性。对于Imperial&Dabman,端口23的密码保护功能很弱。如果攻击者成功破解此通行证,他们将获得对设备基于Linux的BusyBox OS核心的管理员级别的访问权限。 VM的研究人员花了10分钟才能破解Telnet服务。进入后,他们发现他们已获得root访问权限。如果网络犯罪分子获得这种访问权限,他们可能会造成大量损害,例如:

  1. 丢弃恶意负载
  2. 编辑音频流,文件和文件夹
  3. 检索用户家庭或公司网络的wi-fi密码(前提是无线电设备已连接至该设备)
  4. 通过受损的Wi-Fi家庭/企业网络分发勒索软件和其他恶意脚本/工具。

以上提到的危险表明,弱密码在最坏的情况下可能带来的所有隐患。这就是为什么现在可以在CVE-2019-13473的常见漏洞和披露数据库中找到新发现的漏洞的原因。

就受影响设备的范围而言,这确实是很糟糕的。其中一个是Imperial&Dabman网络收音机,由德国Telestar Digital GmbH销售。但是,它们也可以在eBay和Amazon上供国际家庭和企业用户使用。

管理员访问权限使研究人员可以挖掘另一个漏洞

通过端口23获得管理员访问权限后,VM的研究人员发现了设备内置AirMusic客户端的第二个缺陷。有问题的漏洞(CVE-2019-13474)如果被利用,则可能允许远程执行代码。 AirMusic客户端使用多个端口(80到8080)与其Web服务交换命令。事实证明,研究人员花了一个小时才能完全控制Web客户端通信,包括实时直播自定义消息的选项。

类似于Mirai僵尸网络

Imperial&Dabman设备的缺陷源于Telnet端口保护不佳。具有讽刺意味的是, 臭名昭著的Mirai僵尸网络以同样的象征出现了,从而提高了人们对物联网安全性或缺乏物联网安全性的认识。 Telestar Digital GmbH已经采取措施来解决该问题。冗余Telnetd服务不再活动。可以从发行商的网站免费下载手动二进制修补程序,以及可进行Wi-Fi升级的固件更新.

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。