本周,黑客在知名黑客论坛上公开了51.5万多台服务器、家庭路由器和物联网设备的Telnet凭证,包含IP地址和登录信息。这些设备可能成为僵尸网络的一部分,用于发起DDoS攻击。尽管部分设备可能已更改IP或密码,但此列表仍可能被技术熟练的攻击者用于恶意活动。安全专家提醒,受影响设备主要集中在某些ISP和云服务商网络中,敦促相关机构加强安全防护。
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队 本周,黑客发布了51.5万多台服务器、家庭路由器和物联网“智能”设备的 Telnet 凭证列表。 该列表发布在流行黑客论坛上,包括每台设备的 IP 地址以及 Telnet 服务的用户名和密码。 该 Telnet 服务是远程访问协议,用于通过互联网控制设备。 安全专家和泄露者均表示,泄露者扫描整个互联网扫描泄露 Telnet 端口而编译该列表,之后试图使用出厂设置的默认用户名和密码或自定义但易于猜测的密码组合。 这些列表类型被称为“僵尸列表”,是物联网僵尸网络行动的通用组件。 黑客扫描互联网构建僵尸列表,之后连接至设备并安装恶意软件。 这些列表通常不公开,尽管有人曾泄露过,如2017年8月曾泄露3.3万台家庭路由器Telnet 凭证。 这是迄今为止发生的最大规模的 Telnet 密码泄露事件。 由 DDoS 服务操纵者泄露
ZDNet表示,该列表是由DDoS 租赁服务的维护人员公开的。
泄露者表示公布如此大规模“僵尸”列表的原因是,他将 DDoS 服务从物联网僵尸网络作业升级为依靠从云服务提供商租用高输出服务器的新模式。
黑客泄露的所有列表信息日期为2019年10月至11月,其中某些设备目前可能在不同的 IP 地址运行或者使用不同的登录凭证。
ZDnet表示并未使用任何用户名和密码组合访问任何设备,因此无法获悉有多少凭证是合法的。
使用物联网搜索引擎如 BinaryEdge 和 Shodan 发现受影响设备遍布全球。
其中一些设备位于已知的物联网服务提供商的网络上(说明设备或者为家庭路由器或者为物联网设备),不过其它设备位于主流云服务提供商网络上。
危险依旧
一名匿名安全专家表示,因为设备可能已经更改了其 IP 地址或密码因此列表上的某些条目不再有效,但对于具有技术能力的攻击者而言,列表仍然非常有用。
虽然配置有误的设备并非平均分散在互联网上,但通常集中在某个互联网服务提供商网络上,原因是互联网服务提供商在部署设备时导致配置出错。
攻击者能够利用列表中的 IP 地址来判断服务提供商,之后重新扫描互联网服务提供商的网络更新最新的 IP 地址。
ZDNet已和受信任的有经验安全研究人员分享了凭证列表,他们自愿联系并通知相关互联网服务提供商和服务器所有者。
推荐阅读
出于安全考虑,谷歌禁用三款 Linux web 浏览器登录其服务
多款 D-Link 路由器受多个 RCE 漏洞影响
NIST 发布首份物联网风险指南报告
原文链接https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
