自6月11日以來,數(shù)千個有效的Telnet登錄憑證暴露在Pastebin上,若被利用,專家擔心這些設備淪為僵尸網(wǎng)絡,以此發(fā)動強大的DDoS攻擊。
安全公司New Sky Security的安全研究人員安吉特·安納布哈弗發(fā)現(xiàn)這些憑證(包含IP地址、設備用戶名和密碼)主要由默認設備憑證組成,例如“admin:admin”、“root:root”。這些暴露的憑證包含143個憑證組合,其中包括來自Mirai Telnet掃描器的60個管理員-密碼組合。
這份列表包含33,138個條目,幾位知名安全專家在Twitter上轉發(fā)鏈接之后,這份列表最近在Twitter如病毒般快速傳播。從幾天前的截圖來看,這份列表已被瀏覽1.1萬次,但目前的瀏覽量遠不止這個數(shù)字,目前此頁面已被移除。
八千余臺物聯(lián)網(wǎng)設備的Telnet憑證暴露在網(wǎng)上-E安全八千余臺物聯(lián)網(wǎng)設備的Telnet憑證暴露在網(wǎng)上-E安全
GDI Foundation主席維克托·赫韋爾斯分析了這份列表,并私下向外媒透露了分析結果。
實際有效Telnet憑證1775個
據(jù)赫韋爾斯透露,這份列表存在重復,實際上只有8233個唯一IP地址。
其中大多數(shù)IP地址無法通過Telnet端口訪問。赫韋爾斯表示,2174個憑證仍允許攻擊者通過Telnet端口登錄,其中1775個憑證仍有效。
大部分受影響設備位于中國
赫韋爾斯上周一直在通知受害者,他表示正試圖查看是否能定位受害者,或選擇聯(lián)系互聯(lián)網(wǎng)服務提供商(ISP)。他按照地區(qū)查看后發(fā)現(xiàn),這些設備位于歐洲、美國和亞洲,但大部分位于中國。
赫韋爾斯指出,大部分設備為路由器,但還出現(xiàn)了他從未見過的設備,因此拖慢了鑒別速度。研究人員檢查IP黑名單,核實淪為僵尸網(wǎng)絡的設備。赫韋爾斯希望這些設備在被僵尸網(wǎng)絡攻擊者劫持之前能夠確保其安全性或直接讓設備離線。
目前,一些ISP證實了問題所在,歐洲國家已在采取行動。
赫韋爾斯在上周表示還會繼續(xù)掃描過去24小時的修復情況。