Тысячи конвертеров Serial-to-Ethernet передают в Интернет свои пароли доступа, позволяя взломщикам перехватить контроль над подключенными IoT-устройствами. Данные легко найти в специализированных Интернет-поисковиках, которые используются для организации атак на IoT-инфраструктуры.

Проблему в серверах последовательных интерфейсов (device server) обнаружил главный исследователь NewSky Security Анкит Анубав (Ankit Anubhav). Все уязвимые устройства поступили от калифорнийского разработчика Lantronix, который предлагает IoT-оборудование для IT, промышленности, энергетики, медицины и прочих отраслей. Как выяснилось, почти в половине девайсов есть брешь, позволяющая узнать их конфигурацию через запрос на порт 30718. Устройство передает в открытом виде целый набор информации, включая Telnet-пароль.

Исследователь отмечает, что специалисты ИБ узнали об этой уязвимости еще в 2012 году. В новых прошивках IoT-устройств она устранена, однако старые модели так и остались без обновления. Трудно переоценить масштаб возможных злоупотреблений — серверы последовательных интерфейсов лежат в основе многих систем межмашинного взаимодействия, позволяя оператору промышленного оборудования удаленно контролировать его состояние, менять настройки и управлять режимами работы. На данный момент в Интернете опубликованы Telnet-пароли почти 6500 серверов.

В августе исследователь Йоханес Ульрих (Johannes Ullrich) из SANS Internet Storm Center (ISC) выяснил, что ботнет Mirai практически мгновенно обнаруживает незащищенные IoT-устройства. За 45 часов к веб-камере, которую Ульрих использовал для своего эксперимента, пытались подключиться более 10 тысяч раз. При этом DDoS-атаки Mirai — это не самая серьезная опасность. Аналитики ИБ уже сообщали об зловредах, которые способны вовсе вывести IoT-девайс из строя. Это открывает злоумышленникам возможности для направленных атак на объекты критически важной инфраструктуры. Еще в 2015 году стало известно о нападении на немецкий металлургический завод, в результате чего взломщики смогли остановить доменную печь.

На данный момент предприятиям, которые используют уязвимые девайсы в своей инфраструктуре, остается ждать обновления прошивки от производителя. Однако учитывая, что спустя пять лет после обнаружения брешь так и осталась открытой, многие компании скорее предпочтут перейти на более защищенные устройства, хоть это и потребует серьезных затрат.

Категории: Главное, Уязвимости