Изучив данные, полученные в ходе сентябрьских DDoS-атак против KrebsOnSecurity.com и крупнейшего хостинг-провайдера Франции OVH, исследователи определили уязвимости, использованные злоумышленниками, и смогли уточнить, каким образом были организованы эти атаки.

Специалисты ИБ-компании Flashpoint также идентифицировали производителя цифровых видеорегистраторов и IP-камер, задействованных для проведения DDoS. По свидетельству Flashpoint, во всех 500 тыс. устройств, составивших DDoS-ботнет, присутствует новая простейшая уязвимость обхода аутентификации.

«Эти инциденты не уникальны, аналогичные атаки множатся и становятся все более мощными», — заявил Зах Викхольм (Zach Wikholm) из Flashpoint. Производители DVR, CCTV и IP-камер, по словам исследователя, слишком часто пренебрегают передовым опытом, когда дело доходит до аутентификации пользователей, и оставляют бэкдоры, которые легко эксплуатировать.

Как оказалось, косвенным виновником атак на KrebsOnSecurity.com и OVH является китайский производитель XiongMai Technologies. Эта компания продает DVR, сетевые системы видеозаписи, печатные платы IP-камер и сопутствующий софт большому числу вендоров по схеме White Label, а те, в свою очередь, используют технологии XiongMai в собственных продуктах.

К сожалению, китайский производитель допустил фатальную ошибку: он по умолчанию задал имя пользователя как root, а пароль — как xc3511 для всех 500 тыс. устройств, использованных в недавних DDoS-атаках. Это позволило злоумышленникам получить доступ к IoT-устройствам через Telnet и приобщить их к огромному ботнету, построенному на основе Mirai. По свидетельству Flashpoint, обидчики Брайана Кребса и OVH использовали в данном случае не только боты Mirai, однако вклад других участников в общий мусорный поток был незначительным.

В ходе анализа эксперты обнаружили еще один баг обхода веб-аутентификации, присутствующий в программных пакетах CMS и NetSurveillance производства XiongMai. Когда пользователь заходит на страницу регистрации (http://<IP_адрес_устройства>/ Login.htm) для получения доступа к DVR, ему нужно заполнить соответствующие поля. Однако эту процедуру можно миновать, посетив другую страницу, DVR.htm, которая предоставляет доступ к настройкам, не требуя логина и пароля. Данная уязвимость, по словам Викхольма, не использовалась авторами сентябрьских DDoS, но вполне может сыграть свою роль в дальнейших атаках.

Согласно Flashpoint, число скомпрометированных DVR производства XiongMai колеблется от 300 тыс. до 600 тыс., так как некоторые устройства сбрасываются, отключаются или сбоят. На пике, 23 сентября, наблюдатели зафиксировали свыше 560 тыс. устройств, на которых работало уязвимое серверное ПО от XiongMai.

«Дефолтные регистрационные данные не составляют большой угрозы, если устройство недоступно из Интернета, — пишут исследователи. — Однако в комбинации с другими настройками по умолчанию, такими как веб-интерфейсы или сервисы удаленного входа вроде Telnet или SSH, дефолтные идентификаторы могут представлять большой риск для устройства».

На DVR производства XiongMai пароли жестко прописаны в прошивке, и изменить их не представляется возможным. «Проблему усугубляет тот факт, что Telnet-сервис тоже вшит в /etc/init.d/rcS (основной скрипт для запуска сервиса) и отредактировать его нелегко», — отмечают авторы отчета.

В своем комментарии Викхольм подчеркнул, что IoT-устройства все больше привлекают внимание хакеров, так как они зачастую используют встроенные или облегченные версии Linux, которые лишены защиты и редко обновляются (или вовсе не обновляются).

В минувшую пятницу был опубликован еще один отчет об использовании Mirai в сентябрьских DDoS. Его авторы, исследователи из F5 Networks, ожидают, что раскрытие исходников Mirai позволит обитателям сетевого андеграунда «адаптировать, комбинировать и совершенствовать этот код, порождая новые, более продвинутые варианты».

Категории: DoS-атаки, Аналитика