Bezpečnost | Heslo | Hacking | IoT

Katastrofa na obzoru? Neaktualizujeme firmware síťových krabiček

Dahua je čínský výrobce nejrůznějších internetových videonahrávačů a dalších multimediálních krabiček. A stejně jako každý jiný výrobce občas udělá ve svém firmwaru nějakou tu bezpečnostní botu.

Jedna z nich s označením CVE-2013-6117 se dočkala dokumentace už před necelými pěti lety a výrobce pro ni brzy připravil záplatu. Útočník se mohl se zařízením spojit na TCP portu 37777, odeslat mu speciální instrukci a krabička (nešifrovaně) odpověděla přístupovými údaji. Heuréka!

A teď zase zpět do současnosti. Bleeping Computer píše o objevu bezpečnostního experta Ankita Anubhava z NewSky Security. Všechny tyto snadno napadnutelné krabičky během let už vyčmuchaly IoT vyhledávače a ty čínské si neberou servítky.

Klepněte pro větší obrázek
Čínský IoT vyhledávač ZoomEye. Fotky koťat s ním nedohledáte, ale hesla k děravým a veřejně dostupným síťovým krabičkám už ano.

Spojují se totiž s cílovými IP adresami na atraktivních TCP portech a zjevně zkoušejí i nejrůznější útočné scénáře včetně popsané chyby u multimediálních zařízení Dahua. V tomto konkrétním případě se jedná o čínský vyhledávač ZoomEye, který tak indexuje desítky tisíc přístupových hesel ke krabičkám Dahua. Dohledá je každý.

Na obrázku níže jsme si to vyzkoušeli. Vyhledávání jsme omezili na TCP port 37777, který používá právě Dahua. A společně s tímto filtrem jsme vyhledali třeba slovo admin, které by mohlo sloužit jako přihlašovací jméno. ZoomEye vrátil seznam síťových krabiček, kdy na tomto portu dostal v odpovědi slovo admin, přičemž ve shluku znaků figuruje i heslo. Tyto indexované krabičky totiž mají starý firmware a ZoomEye při skenování použil onu zranitelnost popsanou výše.

Klepněte pro větší obrázek
IoT vyhledávač ZoomEye při indexaci síťových krabiček zkouší i tuto zranitelnost a přihlašovací údaje pak servíruje každému, kdo se pokusí vyhledat daná zařízení.

K internetu je tedy připojené ohromné množství zařízení s velmi starým firmwarem, protože ani dnes není samozřejmostí automatická aktualizace.

A tak přestože experti objevují jednu zranitelnost za druhou a výrobci hardwaru pro ně píšou záplaty, nový a bezpečný firmware se až příliš často vůbec nedostane do cíle. Dříve to možná nebyl až takový průšvih, ve světě automatických botů, které procházejí celý rozsah veřejných IP adres, obvyklé TCP porty, jako bonus zkoušejí i jednoduché útoky a všechna zařízení na internetu veřejně indexují a publikují, to je však už naprosto neudržitelné.

Diskuze (32) Další článek: Průzkum: Američané přestávají koukat na klasické živé televizní vysílání

Témata článku: Internet, Bezpečnost, Heslo, Hacking, IoT, Vyhledávače, Síť, Únik dat, Heureka, Krabička, Celý rozsah, Port, Čínský výrobce, Necelý rok, NVD, Nový firmware, Zařízení, Veřejná IP, Bleeping Computer, Přístupové heslo, Přihlašovací jméno, Síťová krabička, Cílová ip, TCP, Obzor



Konec českého poskytovatele internetu v přímém přenosu. Připomíná to krachující energetické firmy
Lukáš Václavík
CETINPoskytovatelé internetuPřipojení k internetu
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

** Dnešní telefony se předhánějí v tom, který z nich bude větší ** Malé telefony na trhu skoro vyhynuly... ** Čínská značka si připravila telefon do dlaně s třípalcovým displejem

Martin Chroust
InfraportKompaktní velikostSmartphony
Starlink překvapivě zlevňuje. I v Česku teď satelitní internet stojí o polovinu méně
Karel Kilián
StarlinkPoskytovatelé internetuPřipojení k internetu