Серверы могут быть проэксплуатированы злоумышленником для отправки произвольных команд на подключенное к ним оборудование АСУ.
Исследователь безопасности из компании NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил, что несколько тысяч серверов последовательных интерфейсов (Serial-to-Ethernet) Lantronix раскрывают свои пароли Telnet и могут быть использованы для атаки на подключенное к ним оборудование. Об этом сообщил ресурс Bleeping Computer.
Серверы последовательных интерфейсов используются компаниями для подключения к удаленному оборудованию, которое поставляется только с последовательными портами. Данные устройства часто используются в автоматизированных системах управления (АСУ) для подключения старого оборудования, имеющего только последовательные порты.
Исследователь обнаружил, что почти половина серверов Lantronix, доступных для подключения через интернет, раскрывают свои пароли Telnet. Специалист выявил 6464 уязвимых сервера (48% от общего количества устройств Lantronix, найденных с помощью поисковика Shodan).
Основной причиной данной проблемы является очень старая уязвимость, позволяющая злоумышленникам получить конфигурацию устройств Lantronix, отправив специально сформированный запрос на порт 30718. Устаревшие версии устройств, не обновленные до последней версии прошивки, отвечают на такой запрос файлом конфигурации, в котором в числе прочего указан пароль Telnet в текстовом виде. Эксплоит для данной уязвимости доступен довольно давно - с 2012 года, отметил эксперт. Злоумышленник, подключившийся к уязвимому устройству с помощью Telnet, сможет отправлять произвольные команды на доступное через уязвимый сервер оборудвание АСУ.
Собираем и анализируем опыт профессионалов ИБ