Poor Port Protection Puts Millions of Web Radio Devices At Risk
Imperial&Dabmanの100万台以上のインターネットラジオデバイスは、脆弱なデフォルトのログイン資格情報を使用する文書化されていないTelnetサービスのおかげで、リモートコード実行(RCE)攻撃の犠牲になります。この脆弱性は、Vulnerability Magazine(VM)の研究者が少数のデバイスの定期的なポートスキャンを実行した後に明らかになりました。 Telnetdと呼ばれるこのサービスは、ポート23で実行されています。Telnetdは比較的弱いログイン資格情報に依存しているため、さまざまな悪意のある脅威のバックドアとして機能する可能性があります。
目次
弱いパスワード、それでもパスワード。それは悪いことですか?
弱いパスワードを使用することは、パスワードをまったく使用しないことよりも優れていますが、安reliefのため息をつく理由はほとんどありません。パスワードは、常にブルートフォース攻撃の犠牲になります。弱いパスワードはほんの数分で中和されますが、強力なパスワードはずっと回復力があります。 Imperial&Dabmanの場合、ポート23のパスワード保護は脆弱です。攻撃者がこのパスのクラッキングに成功した場合、デバイスのLinuxベースのBusyBox OSのコアへの管理者レベルのアクセスが可能になります。 VMの研究者がTelnetサービスパスを破るのに10分かかりました。一度入ると、彼らはルートアクセスを獲得したことを発見しました。このようなアクセスを取得するサイバー犯罪者は、次のような多くの損害を与える可能性があります。
- 悪意のあるペイロードをドロップする
- オーディオストリーム、ファイル、フォルダーを編集する
- ユーザーのホームネットワークまたは企業ネットワークのwi-fiパスワードを取得します(無線デバイスが接続されている場合)。
- 侵害されたwi-fiホーム/企業ネットワーク経由でランサムウェアやその他の悪意のあるスクリプト/ツールを配布します。
上記の危険性は、最悪のシナリオで弱いパスワードがもたらすすべての影響を示しています。そのため、CVE-2019-13473の下でCommon Vulnerabilities and Exposuresデータベースで新たに発見された脆弱性が利用可能になりました。
影響を受けるデバイスの範囲に関する限り、それは本当に悪いことです。 1つは、ドイツのTelestar Digital GmbHがImperial&Dabmanのウェブラジオを販売していることです。ただし、eBayおよびAmazonでは、国際的なホームユーザーおよび企業ユーザーも利用できます。
管理者アクセスにより、研究者は別の脆弱性を掘ることができました
VMの研究者は、ポート23を介して管理者アクセス権を取得したため、デバイスのオンボードAirMusicクライアントに2つ目の欠陥を発見しました。問題の脆弱性(CVE-2019-13474)が悪用された場合、リモートでコードが実行される可能性があります。 AirMusicクライアントは、いくつかのポート(80から8080)を使用して、Webサービスとコマンドを交換します。判明したように、カスタムメッセージをライブストリーミングするオプションを含め、研究者がWebクライアント通信を完全に制御するのに1時間かかりました。
みらいボットネットに類似
Imperial&Dabmanデバイスの欠陥は、十分に保護されていないTelnetポートから発生しました。皮肉なことに、 悪名高いMiraiボットネットは同じトークンによって出現し、IoTセキュリティまたはその欠如についての認識を高めました。 Telestar Digital GmbHは、この問題に対処するための対策をすでに講じています。冗長Telnetdサービスはアクティブではなくなりました。手動のバイナリパッチは、Wi-Fi対応のファームウェアアップデートに加えて、ディストリビューターのWebサイトから無料でダウンロードできます。.