Credenziali di accesso per migliaia di dispositivi di rete pubblicate su Pastebin

Su Pastebin è stato scovato un elenco di credenziali di accesso che possono consentire a chiunque su internet di prendere il controllo di router domestici e oltre 1700 dispositivi Internet of Things, rendendoli così parte di botnet usate per portare attacchi DDoS dall'importante volume di fuoco.

L'elenco è stato pubblicato su Pastebin per la prima volta a giugno e aggiornato varie volte sin da allora. Pare che la lista sia stata sfruttata per mesi per compromettere un ampio numero di dispositivi con malware per trasformarli in piattaforme DDoS. Per diverso tempo l'elenco è passato quasi inosservato, con appena 700 visualizzazioni ma dallo scorso giovedì quando Ankit Anubhav, ricercatore di sicurezza per NewSky Security ha dato risalto alla cosa su Twitter, la lista di credenziali ha reggiunto le 13 mila visualizzazioni nel giro di circa 24 ore. Successivamente la pagina su Pastebin è stata rimossa.

All'interno dell'elenco si trovano combinazioni user/pass per 8233 indirizzi ip unici, 2174 dei quali stanno ancora operando server telnet aperti. Di questi servizi, 1774 sono rimasti accessibili utilizzando le credenziali presenti nella lista. Una significativa testimonianza di come versi in cattive condizioni lo stato della sicurezza dei dispositivi IoT: gli 8233 host fanno uso solamente di 144 combinazioni uniche di user e pass, anche se la grande maggioranza di questi sono credenziali di default inserite nei dispositivi al momento della produzione. Le prime cinque combinazioni rilevate sono:

Mentre le principali 10 password utilizzate sono:

Tutte sono password di default (problema che ben conosciamo), eccetto GMB182 che è stata usata in passato come credenziale da malware botnet. All'interno dell'elenco sono state individuate altre combinazioni user/pass usata da botnet, come ad esempio "mother:fucker". Questi piccoli elementi testimoniano come ormai i dispositivi di rete che è possibile compromettere da remoto vengano direttamente assoldati per far parte di botnet di grandi dimensioni che rendono oggi possibili attacchi una volta ritenuti impensabili. Lo scorso anno si sono verificati alcuni incidenti di sicurezza dovuti proprio alla potenza di fuoco di queste botnet che, come ad esempio per esempio nel caso dell'attacco verso il provider francese OVH, possono raggiungere picchi di ben 1,1 terabit al secondo, frutto della potenza combinata di 145 mila dispositivi.

Sebbene l'elenco contenga 8233 indirizzi IP unici, in realtà sono presenti in tutto circa 33 mila voci probabilmente perché quando la lista è stato aggiornata nel corso del tempo non è stata effettuata la rimozione di elementi ridondanti. Per alcuni IP presenti nell'elenco sono disponibili più combinazioni user/pass: in questo caso il dispositivo specifico ha più account o è stato infettato da più malware tramite successivi scan della rete. Anche se un dispositivo è compromesso e reso parte di una botnet è spesso possibile per una botnet rivale riuscire a prendere il controllo inducendo un reboot del dispositivo dal momento che la maggior parte di questo genere di malware non è in grado di sopravvivere a un riavvio. Una parte delle password presenti nell'elenco è stata cambiata, ma a quanto si apprende sarebbero comunque state usate password non particolarmente robuste e comunque scardinabili con comuni tecniche brute-force.

Chiunque faccia uso di un dispositivo di rete, sia un router, una ip-cam o qualsiasi dispositivo IoT dovrebbe sempre ricordare che l'accesso remoto dovrebbe essere consentito solamente quando c'è una valida ragione e ovviamente dopo aver cambiato le credenziali di default con una combinazione user/pass più robusta. Consiglio, quest'ultimo, ovviamente valido anche nel caso in cui l'accesso remoto non venga abilitato.