С того момента, как стало известно о масштабной бот-сети Mirai, прошёл уже почти год, однако ситуация с обеспечением безопасности IoT-устройств не меняется к лучшему. Огромное число смарт-устройств по-прежнему подключаются к интернету с учётными данными по умолчанию, и хакеры атакуют такие девайсы каждые две минуты.
К неутешительным выводам пришел Иоганн Б. Ульрих (Johannes B. Ullrich), ИБ-специалист института SANS Technology Institute по результатам своего эксперимента с цифровым видеорегистратором Anran, сообщает Bleeping Computer.
Эксперт подключил устройство к Сети, намеренно оставив настройки по умолчанию (логин/пароль – root/xc3511) и возможность удалённого доступа по протоколу Telnet, после чего в течение двух дней регистрировал все попытки входа в систему.
За все время эксперимента, который длился 45 часов 42 минуты, более 10 тысяч “пользователей” совершили 1254 попытки входа с разных IP-адресов. Другими словами, примерно раз в две минуты кто-то пробовал установить соединение, пользуясь скомпрометированными учётными данными.
Воспользовавшись поисковым сервисом Shodan, Ульрих отследил IP-адреса, с которых поступали запросы. Оказалось, что большинство исходили от других, по всей видимости, заражённых вредоносным ПО IoT-устройств производства таких вендоров, как TP-Link, AvTech, Synology и D-Link, которые нередко становятся участниками бот-сетей, подобных Mirai. С помощью Telnet или SSH сканеров они в случайном порядке перебирают IP-адреса и пытаются подключиться через Telnet или SSH, пользуясь списком логинов и паролей по умолчанию.
В прошлом году, в самый разгар эпидемии DDoS-атак ботнета Mirai, ИБ-специалисты провели аналогичный тест, подключив к сети IP-камеру наблюдения с заводскими учётными данными. В среднем, заражение IoT-малварью происходило в течение полутора минут.
Год спустя эксперимент показал, что сканеры, “нащупывающие” уязвимые IoT-устройства, не снизили свою активность.
“В ближайшее время эта проблема никуда не денется. Если люди до сих пор не слышали об уязвимости видеорегистраторов и необходимости менять пароли по умолчанию, они вряд ли прочтут и мою статью”, – с сожалением констатировал Ульрих.
Стоит добавить, что на прошлой неделе СМИ сообщили о выложенном на сетевом ресурсе Pastebin крупном списке заводских учётных данных к тысячам устройств интернета вещей, а также IP-адреса конкретной техники. Суммарно база насчитывала 33 138 записей и 8233 уникальных IP-адреса.
При этом 2174 из них до сих пор доступны для атакующих посредством Telnet, а для 1775 все еще подходят установленные производителями логины и пароли.