工控系統血色事件：6000多台Lantronix設備的密碼已經泄露

事件回顧

美國NewSky Security 安全公司近期發現6460多台裝備了Lantronix公司生產的網路設備發生了 Telnet 密碼被泄露的事故。根據安全研究人員的分析，如果這些Telnet 密碼被攻擊者得到，他們就可以藉此針對連接的設備發動大規模網路攻擊。

Lantronix公司提供工業級設備聯網和遠程IT管理解決方案，工業級設備聯網模塊包含嵌入式串口轉乙太網,串口轉WiFi模塊,嵌入式Linux串口模塊,機架型多串口伺服器等。據悉，本次發生事故的6000多台裝備均被廣泛用於連接工業控制系統，且都是老舊設備，只具備串列埠。經過調查，這些乙太網伺服器串口是轉用於連接遠程設備的介面，例如：產品UDS和xDirect可以輕鬆通過LAN 或WAN連接管理設備，從而實現與具備串列介面的任何設備進行乙太網連接。

如果是黑客看到這個消息，一定會趕緊查找這些設備的具體信息，以伺機發動攻擊。登錄Shodan，就會發現有48%設備信息已經被曝光了。

何為Shodan？

谷歌、百度等搜索引擎通過引用返回的內容進行檢索，而Shodan則通過來自各種設備的HTTP header以及其它標誌性信息進行檢索。Shodan可以收集這些設備的信息，並根據其所屬國家、操作系統、品牌以及許多其它屬性進行分類。可以大致把谷歌、百度看做是網站內容搜索，而把Shodan看做是網路設備搜索。

最壞的攻擊後果

攻擊者不僅可以使用泄露的Telnet 密碼控制相關設備，而且還能在獲得特權訪問後將串列命令發送到連接設備，除此之外，攻擊者還可以通過在埠 30718 上發送一個格式錯誤的請求來檢索 Lantronix 設備配置。

另外，研究人員在Metasploit滲透測試論壇上發現了一個 Lantronix 的「Telnet密碼恢復」 模塊，該模塊可以通過配置埠（30718/udp，默認在Lantronix設備的舊版本上啟用），檢索從 Lantronix 串口到乙太網設備所記錄的全部安裝設置，並以明文方式提取Telnet密碼。經過分析，此次問題就出在這些老舊設備無法更新並運行新發布的升級補丁。

本文翻譯自：http://securityaffairs.co/wordpress/66275/hacking/lantronix-serial-to-ethernet-leakage.html，如若轉載，請註明原文地址： http://www.4hou.com/info/news/9047.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：