新加坡电信员工这个失误导致1000台路由器暴露,容易被黑

新加坡电信员工这个失误导致1000台路由器暴露

自Mirai僵尸网络攻击的源代码公布以来,物联网(IoT)攻击的演变呈现多样化,黑客会通过不同的媒介攻击物联网设备以获得控制权。

物联网攻击大致可分为三个级别:

0级:攻击未设置身份验证保护的设备;
1级:猜测弱/默认密码;
2级:利用IoT漏洞获取访问权。

随着人们安全意识的提高,第0级攻击本应该很易预防。但我们的安全研究员近日发现了Singtel自有品牌WiFi Gigabit路由器就因为未设置身份验证保护而暴露在了物联网上。


一部分新加坡电信自产的Wi-Fi Gigabit路由器可由10000控制端口无需密码登录。这些潜在易受到攻击的路由器的IP地址在网络上可以随时查找到。

路由器控制面板

如下图所示,这些设备的登录功能被设置为禁用:

路由器控制面板

当黑客通过10000端口进入设备,访问“高级设置 - >管理”选项后,他们就可以启动“登录功能”,并重新设置路由器的登录密码。一旦设置了新密码,该路由器就会被黑客完全控制,并且切断与设备原始所有者的连接。

路由器控制面板

我们同时也注意到,大多数受此影响的路由器都连接了多个设备。所以,这次发现的潜在威胁不仅在975路由器上,而且还在连接到它们的所有设备上。因此,易受到攻击的设备的总数为975 * x,其中x 是连接到路由器的设备的平均数量。以下是示意图:

路由器都连接了多个设备

根本原因竟是员工操作失误

forgot dooe image

直接可通过路由器的10000端口进行未经验证访问这一点, 使我们怀疑这很可能是用户的重大疏忽,或者是设备上的后门。当发现问题后,我们立刻将我们的调查结果通知了新加坡计算机应急响应小组(简称SingCERT),该机构将此问题提交给新加坡电信。有趣的是,此次事件的根本原因跟我们预期的都不相同。原来新加坡电信的客户服务人员为便于给客户解决 WiFi 问题,启用了端口转发功能,而他们在问题解决后并未禁用该功能。这很可能是因为 新加坡电信公司内部没有制定严格的操作规程,或者缺乏相应的惩戒措施。

我们在此引用了SingCERT副主任Douglas Mun的话:“端口转发是由他们的客户服务人员为他们的客户解决Wi-Fi问题而打开的,并且在问题得到解决时没有被禁用。ISP 新加坡电信将采取措施,确保在故障排除完成后禁用端口转发。”

路由器安全的重要性不容小视

物联网设备被黑客攻击后的严重程度会因为设备的不同而不同。相比监控摄像头等物联网设备通常被黑客控制用于DDoS攻击,攻击路由器所造成的影响会更大。因为黑客可以直接重新配置路由器而导流量,或者监控数据包,甚至植入恶意软件。

在2018年5月,网路安全社区就发现黑客利用几台Draytek品牌的路由器,通过更改DNS设置而使其指向恶意IP地址。类似的恶意DNS更改会导致物联网设备直接访问钓鱼网站和其他恶意网站。这样的攻击的严重程度已经超出了常见的物联网设备DDoS攻击(例如,黑客植入的DNS更改可能将银行域名的访问指向钓鱼网站)。在今年4月,已有媒体报道黑客攻击有漏洞或安全性较差的路由器以更改DNS设置

结论

类似于新加坡电信这样暴露的无需验证的路由器似乎并不稀缺。就在两周前,青天科技就发现了数千台没有telnet认证的路由器

在某些情况下,使用非标准端口连接的物联网设备安全性可能会很好。例如,在不常见的端口上设置SSH可以避免设备受到大量攻击默认SSH端口的黑客攻击。但是,这种使用非标端口的做法绝不应被视为物联网安全防护产品的替代品。因为黑客可以通过Shodan等扫描物联网设备的服务,很容易找到正在使用的这些非标准端口。

尽管网络产品服务商经常被认为是物联网安全问题的责任方,但最终用户其实也可以采取一些行动来防范攻击。一些常见的抵御物联网黑客的方法有谨慎设置端口转发、复杂的身份验证、可信赖的防火墙或其他形态的物联网安全防护、定期系统更新。


本文由青天科技(NewSky Security )Ankit Anubhav原创。转载请联系授权,并保留出处与链接,不得删减内容。联系方式: info@newskysecurity.com

青天科技(NewSky Security),是一家总部位于厦门,在美国西雅图设有研究中心的物联网安全解决方案供应商,致力于同企业一起解决黑客攻击、恶意软件感染、信息泄露、DDoS 攻击等安全威胁,专注于物联网智能终端传输和云的信息安全,提供实时的网络行为监控,依托大数据分析和机器学习技术,可对智能终端的网络行为进行深入挖掘、分析和建模。

欢迎登录青天科技门户网站 cn.newskysecurity.com 查看更多精彩内容。

关注青天科技微信号

青天科技微信号

上篇你看看你自己的弱密码。你们也好意思说自己是黑客?
下篇黑客为什么黑我?因为你有币啊!