Credenziali di accesso per migliaia di dispositivi di rete pubblicate su Pastebin

Credenziali di accesso per migliaia di dispositivi di rete pubblicate su Pastebin

L'elenco di credenziali è su Pastebin almeno da giugno, rimosso solamente nei giorni scorsi dopo che un ricercatore di sicurezza ha dato risalto alla cosa

di Andrea Bai pubblicata il , alle 18:01 nel canale Sicurezza
 

Su Pastebin è stato scovato un elenco di credenziali di accesso che possono consentire a chiunque su internet di prendere il controllo di router domestici e oltre 1700 dispositivi Internet of Things, rendendoli così parte di botnet usate per portare attacchi DDoS dall'importante volume di fuoco.

L'elenco è stato pubblicato su Pastebin per la prima volta a giugno e aggiornato varie volte sin da allora. Pare che la lista sia stata sfruttata per mesi per compromettere un ampio numero di dispositivi con malware per trasformarli in piattaforme DDoS. Per diverso tempo l'elenco è passato quasi inosservato, con appena 700 visualizzazioni ma dallo scorso giovedì quando Ankit Anubhav, ricercatore di sicurezza per NewSky Security ha dato risalto alla cosa su Twitter, la lista di credenziali ha reggiunto le 13 mila visualizzazioni nel giro di circa 24 ore. Successivamente la pagina su Pastebin è stata rimossa.

All'interno dell'elenco si trovano combinazioni user/pass per 8233 indirizzi ip unici, 2174 dei quali stanno ancora operando server telnet aperti. Di questi servizi, 1774 sono rimasti accessibili utilizzando le credenziali presenti nella lista. Una significativa testimonianza di come versi in cattive condizioni lo stato della sicurezza dei dispositivi IoT: gli 8233 host fanno uso solamente di 144 combinazioni uniche di user e pass, anche se la grande maggioranza di questi sono credenziali di default inserite nei dispositivi al momento della produzione. Le prime cinque combinazioni rilevate sono:

Utente Password Occorrenze
root - 782
admin admin 634
root root 320
admin default 21
default - 18

Mentre le principali 10 password utilizzate sono:

Password Occorrenze
admin 4621
123456 698
12345 575
xc3511 530
GMB182 495
Zte521 415
password 399
oelinux123 385
jauntech 344
1234 341

Tutte sono password di default (problema che ben conosciamo), eccetto GMB182 che è stata usata in passato come credenziale da malware botnet. All'interno dell'elenco sono state individuate altre combinazioni user/pass usata da botnet, come ad esempio "mother:fucker". Questi piccoli elementi testimoniano come ormai i dispositivi di rete che è possibile compromettere da remoto vengano direttamente assoldati per far parte di botnet di grandi dimensioni che rendono oggi possibili attacchi una volta ritenuti impensabili. Lo scorso anno si sono verificati alcuni incidenti di sicurezza dovuti proprio alla potenza di fuoco di queste botnet che, come ad esempio per esempio nel caso dell'attacco verso il provider francese OVH, possono raggiungere picchi di ben 1,1 terabit al secondo, frutto della potenza combinata di 145 mila dispositivi.

Sebbene l'elenco contenga 8233 indirizzi IP unici, in realtà sono presenti in tutto circa 33 mila voci probabilmente perché quando la lista è stato aggiornata nel corso del tempo non è stata effettuata la rimozione di elementi ridondanti. Per alcuni IP presenti nell'elenco sono disponibili più combinazioni user/pass: in questo caso il dispositivo specifico ha più account o è stato infettato da più malware tramite successivi scan della rete. Anche se un dispositivo è compromesso e reso parte di una botnet è spesso possibile per una botnet rivale riuscire a prendere il controllo inducendo un reboot del dispositivo dal momento che la maggior parte di questo genere di malware non è in grado di sopravvivere a un riavvio. Una parte delle password presenti nell'elenco è stata cambiata, ma a quanto si apprende sarebbero comunque state usate password non particolarmente robuste e comunque scardinabili con comuni tecniche brute-force.

Chiunque faccia uso di un dispositivo di rete, sia un router, una ip-cam o qualsiasi dispositivo IoT dovrebbe sempre ricordare che l'accesso remoto dovrebbe essere consentito solamente quando c'è una valida ragione e ovviamente dopo aver cambiato le credenziali di default con una combinazione user/pass più robusta. Consiglio, quest'ultimo, ovviamente valido anche nel caso in cui l'accesso remoto non venga abilitato.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
dr-omega29 Agosto 2017, 14:23 #1
1-2-3-4-5?
Ma è pazzesco, la stessa combinazione della mia valigetta! (Cit.)

-sempre bella questa battuta-
fdm91hu29 Agosto 2017, 19:00 #2

Si ok ma togliete la pic

Ragazzi, alcuni dei server che avete postato in bella mostra sono ancora attivi ed accessibili con quelle credenziali tramite telnet o ssh... potreste pure rimuoverli oppure almeno oscurare gli IP, no?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^