image

250.000 routers met zelfde SSH-sleutel ontdekt

donderdag 19 februari 2015, 15:09 door Redactie, 6 reacties

Een onderzoeker die een programma schreef om onder andere de "vingerafdrukken" van SSH-sleutels te verzamelen stond vreemd te kijken toen hij één vingerafdruk op meer dan 250.000 apparaten aantrof. Het bleek om routers van de Spaanse telecomprovider Telefonica de Espana te gaan.

Sommige netwerkapparatuur zou standaard van SSH zijn voorzien, waarbij de fabrikant beslist om dezelfde image van het besturingssysteem op alle apparaten uit te rollen. Onderzoeker John Matherly, tevens oprichter van de Shodan-zoekmachine, vond ook nog twee sleutels die respectievelijk 200.000 en 150.000 keer werden gebruikt.

"Door deze zaken te analyseren is het makkelijk om een beeld te krijgen van de systematische problemen die zowel hardwarefabrikanten als internetproviders plagen", aldus Matherly. Hij heeft een lijst van unieke vingerafdrukken verzameld en biedt die nu via Github aan. "Het zou me niet verbazen als je interessante beveiligingsproblemen vindt door te analyseren waarom deze dingen verkeerd geconfigureerd zijn", zo merkt hij op.

Reacties (6)
19-02-2015, 21:14 door MrRight
Tja, default password niet veranderen.
Dat heeft als effect een bericht op security.nl
Wow...
19-02-2015, 21:53 door Anoniem
het gaat niet om wachtwoorden, maar om de fingerprint. Deze wordt gebruikt voor identificatie van een apparaat/host, niet voor authenticatie.
20-02-2015, 08:49 door rob
Door Anoniem: het gaat niet om wachtwoorden, maar om de fingerprint. Deze wordt gebruikt voor identificatie van een apparaat/host, niet voor authenticatie.

Klopt. Echter misschien staat er in de image echter ook nog een authorized_key die dan overal het zelfde is... who knows
20-02-2015, 12:27 door Joep Lunaar
Door rob:
Door Anoniem: het gaat niet om wachtwoorden, maar om de fingerprint. Deze wordt gebruikt voor identificatie van een apparaat/host, niet voor authenticatie.

Klopt. Echter misschien staat er in de image echter ook nog een authorized_key die dan overal het zelfde is... who knows

Op zich niks mis mee als bepaalde (set) public key(s) op heel veel systemen staat.
Ik mag echter wel hopen dat de bijbehorende private key(s) door de respectievelijke houder(s) met de nodige omzichtigheid worden behandeld en dat aan de public keys geen onnodige of veel te brede autorisaties op de routers zijn gekoppeld.
20-02-2015, 12:31 door Anoniem
Door Anoniem: het gaat niet om wachtwoorden, maar om de fingerprint. Deze wordt gebruikt voor identificatie van een apparaat/host, niet voor authenticatie.

Het gaat erom dat al deze systemen ook dezelfde "private key" hebben. Als je toegang hebt tot een van deze systemen, dan kun je verkeer voor elk van die andere systemen ontcijferen.
20-02-2015, 13:37 door Anoniem
Door Joep Lunaar:
Door rob:
Door Anoniem: het gaat niet om wachtwoorden, maar om de fingerprint. Deze wordt gebruikt voor identificatie van een apparaat/host, niet voor authenticatie.

Klopt. Echter misschien staat er in de image echter ook nog een authorized_key die dan overal het zelfde is... who knows

Op zich niks mis mee als bepaalde (set) public key(s) op heel veel systemen staat.
Ik mag echter wel hopen dat de bijbehorende private key(s) door de respectievelijke houder(s) met de nodige omzichtigheid worden behandeld en dat aan de public keys geen onnodige of veel te brede autorisaties op de routers zijn gekoppeld.

Als de SSH fingerprint hetzelfde is, is de private key hetzelfde. Deze staat sowieso dan hard gecodeerd in het image (wordt dus niet bij eerste keer opstarten gegenereerd) en is dus te achterhalen.
Dat achterhalen kost veel inspanning, maar daarna heb je wel toegang tot meteen 200.000 apparaten, dus wel de moeite waard
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.