Dahua je čínský výrobce nejrůznějších internetových videonahrávačů a dalších multimediálních krabiček. A stejně jako každý jiný výrobce občas udělá ve svém firmwaru nějakou tu bezpečnostní botu.
Jedna z nich s označením CVE-2013-6117 se dočkala dokumentace už před necelými pěti lety a výrobce pro ni brzy připravil záplatu. Útočník se mohl se zařízením spojit na TCP portu 37777, odeslat mu speciální instrukci a krabička (nešifrovaně) odpověděla přístupovými údaji. Heuréka!
A teď zase zpět do současnosti. Bleeping Computer píše o objevu bezpečnostního experta Ankita Anubhava z NewSky Security. Všechny tyto snadno napadnutelné krabičky během let už vyčmuchaly IoT vyhledávače a ty čínské si neberou servítky.
Čínský IoT vyhledávač ZoomEye. Fotky koťat s ním nedohledáte, ale hesla k děravým a veřejně dostupným síťovým krabičkám už ano.
Spojují se totiž s cílovými IP adresami na atraktivních TCP portech a zjevně zkoušejí i nejrůznější útočné scénáře včetně popsané chyby u multimediálních zařízení Dahua. V tomto konkrétním případě se jedná o čínský vyhledávač ZoomEye, který tak indexuje desítky tisíc přístupových hesel ke krabičkám Dahua. Dohledá je každý.
Na obrázku níže jsme si to vyzkoušeli. Vyhledávání jsme omezili na TCP port 37777, který používá právě Dahua. A společně s tímto filtrem jsme vyhledali třeba slovo admin, které by mohlo sloužit jako přihlašovací jméno. ZoomEye vrátil seznam síťových krabiček, kdy na tomto portu dostal v odpovědi slovo admin, přičemž ve shluku znaků figuruje i heslo. Tyto indexované krabičky totiž mají starý firmware a ZoomEye při skenování použil onu zranitelnost popsanou výše.
IoT vyhledávač ZoomEye při indexaci síťových krabiček zkouší i tuto zranitelnost a přihlašovací údaje pak servíruje každému, kdo se pokusí vyhledat daná zařízení.
K internetu je tedy připojené ohromné množství zařízení s velmi starým firmwarem, protože ani dnes není samozřejmostí automatická aktualizace.
A tak přestože experti objevují jednu zranitelnost za druhou a výrobci hardwaru pro ně píšou záplaty, nový a bezpečný firmware se až příliš často vůbec nedostane do cíle. Dříve to možná nebyl až takový průšvih, ve světě automatických botů, které procházejí celý rozsah veřejných IP adres, obvyklé TCP porty, jako bonus zkoušejí i jednoduché útoky a všechna zařízení na internetu veřejně indexují a publikují, to je však už naprosto neudržitelné.
