NewSky Security的首席安全研究員Ankit Anubhav于近期發現數千臺裝備Lantronix串口的以太網設備泄漏了Telnet密碼。知情人士透露,攻擊者可以借此針對連接設備發動網絡攻擊。
據悉,該設備服務器由美國供應商Lantronix制造,并被廣泛應用于連接工控系統,其中大部分是老舊設備(只具備串行端口)。調查顯示,此次暴露的以太網服務器串口是轉用于連接遠程設備的接口,例如:產品UDS和xDirect可以輕松通過LAN或WAN連接管理設備,從而實現與具備串行接口的任何設備進行以太網連接。
Anubhav表示,當前逾有6,464 臺可連接到關鍵工控系統的Lantronix設備服務器在線泄露了Telnet密碼,這些設備在Shodan上的曝光占了48% 。據稱,此次泄露事件不僅允許攻擊者接管設備后使用特權訪問將串行命令發送至連接設備,還能夠允許攻擊者可以通過在端口30718上發送一個格式錯誤的請求檢索Lantronix設備配置。
另外,研究人員發現在Metaploit黑客平臺包括一個Lantronix“Telnet密碼恢復 ”模塊,該模塊可用于通過配置端口(舊版本的 Lantronix 設備默認啟用 30718 / udp)從 Lantronix 串口到以太網設備檢索安裝設置記錄,并以明文方式提取Telnet密碼。目前,補丁管理再次成為問題根源,而且易受攻擊的設備并未(難以)通過更新來解決此類問題。
京公網安備 11010502049343號