Bezpečnost | Hacking | IoT | Heslo

Katastrofa na obzoru? Neaktualizujeme firmware síťových krabiček

Katastrofa na obzoru? Neaktualizujeme firmware síťových krabiček

Dahua je čínský výrobce nejrůznějších internetových videonahrávačů a dalších multimediálních krabiček. A stejně jako každý jiný výrobce občas udělá ve svém firmwaru nějakou tu bezpečnostní botu.

Jedna z nich s označením CVE-2013-6117 se dočkala dokumentace už před necelými pěti lety a výrobce pro ni brzy připravil záplatu. Útočník se mohl se zařízením spojit na TCP portu 37777, odeslat mu speciální instrukci a krabička (nešifrovaně) odpověděla přístupovými údaji. Heuréka!

A teď zase zpět do současnosti. Bleeping Computer píše o objevu bezpečnostního experta Ankita Anubhava z NewSky Security. Všechny tyto snadno napadnutelné krabičky během let už vyčmuchaly IoT vyhledávače a ty čínské si neberou servítky.

Klepněte pro větší obrázek
Čínský IoT vyhledávač ZoomEye. Fotky koťat s ním nedohledáte, ale hesla k děravým a veřejně dostupným síťovým krabičkám už ano.

Spojují se totiž s cílovými IP adresami na atraktivních TCP portech a zjevně zkoušejí i nejrůznější útočné scénáře včetně popsané chyby u multimediálních zařízení Dahua. V tomto konkrétním případě se jedná o čínský vyhledávač ZoomEye, který tak indexuje desítky tisíc přístupových hesel ke krabičkám Dahua. Dohledá je každý.

Na obrázku níže jsme si to vyzkoušeli. Vyhledávání jsme omezili na TCP port 37777, který používá právě Dahua. A společně s tímto filtrem jsme vyhledali třeba slovo admin, které by mohlo sloužit jako přihlašovací jméno. ZoomEye vrátil seznam síťových krabiček, kdy na tomto portu dostal v odpovědi slovo admin, přičemž ve shluku znaků figuruje i heslo. Tyto indexované krabičky totiž mají starý firmware a ZoomEye při skenování použil onu zranitelnost popsanou výše.

Klepněte pro větší obrázek
IoT vyhledávač ZoomEye při indexaci síťových krabiček zkouší i tuto zranitelnost a přihlašovací údaje pak servíruje každému, kdo se pokusí vyhledat daná zařízení.

K internetu je tedy připojené ohromné množství zařízení s velmi starým firmwarem, protože ani dnes není samozřejmostí automatická aktualizace.

A tak přestože experti objevují jednu zranitelnost za druhou a výrobci hardwaru pro ně píšou záplaty, nový a bezpečný firmware se až příliš často vůbec nedostane do cíle. Dříve to možná nebyl až takový průšvih, ve světě automatických botů, které procházejí celý rozsah veřejných IP adres, obvyklé TCP porty, jako bonus zkoušejí i jednoduché útoky a všechna zařízení na internetu veřejně indexují a publikují, to je však už naprosto neudržitelné.

Diskuze (32) Další článek: Průzkum: Američané přestávají koukat na klasické živé televizní vysílání

Témata článku: Internet, Bezpečnost, Hacking, Vyhledávače, IoT, Heslo, Únik dat, Čínský vyhledávač, Bezpečnostní expert, Jednoduchý útok, Nový firmware, Veřejná IP, Obzor, Port, Přístupový údaj, Zařízení, Síťová krabička, Celý rozsah, Bleeping Computer, Necelý rok, Krabička, Přihlašovací jméno, Firmware, Speciální instrukce, TCP


Určitě si přečtěte

15 míst, kde můžete legálně sledovat filmy na internetu

15 míst, kde můžete legálně sledovat filmy na internetu

** Legálních služeb pro sledování filmů je celá řada, využít můžete předplatné či platbu za film ** Ceny jsou u mnohých velmi rozumné, limitem je pouze nabídka titulů ** České služby mají i dabované filmy, u zahraničních často chybí i české titulky

Vladislav Kluska | 32

Levný televizor místo drahého 4K HDR monitoru? Na co si musíte dát pozor

Levný televizor místo drahého 4K HDR monitoru? Na co si musíte dát pozor

** 43", 4K, 60 Hz a HDR k tomu za deset tisíc ** Televizor takových parametrů stojí téměř polovinu, co monitor ** Využití televize jako monitoru přináší řadu kompromisů, ale jde to

Tomáš Holčík | 63