Beveiligingsonderzoekers hebben meer dan 500.000 kwetsbare Internet of Things-apparaten van een Chinese fabrikant ontdekt die via een standaardwachtwoord kunnen worden gehackt en gebruikt voor het uitvoeren van bijvoorbeeld ddos-aanvallen, zo waarschuwt beveiligingsbedrijf Flashpoint (pdf).
Het gaat om apparaten zoals digitale videorecorders, netwerkvideorecorders en ip-camera's van de Chinese fabrikant XiongMai Technologies. De fabrikant ontwikkelt de hardware die allerlei andere bedrijven vervolgens als hun eigen product doorverkopen. De apparaten maken echter gebruik van een standaard wachtwoord en gebruikersnaam waarmee een aanvaller via Telnet kan inloggen. Onlangs werden verschillende grote ddos-aanvallen waargenomen die via gehackte IoT-apparaten werden uitgevoerd.
De apparaten waren geïnfecteerd door malware die via de standaard inloggegevens binnenkwam. Vervolgens werden de besmette IoT-apparaten gebruikt voor het vinden van nieuwe kwetsbare apparaten en het platleggen van websites. Volgens onderzoekers van Forcepoint is het probleem dat het standaard wachtwoord en gebruikersnaam niet eenvoudig zijn te veranderen. Zo is het wachtwoord 'hardcoded' in de firmware en zijn er geen tools voorhanden om het wachtwoord uit te schakelen. Daarnaast is het via de webinterface van de apparaten niet duidelijk dat er een dergelijk standaard wachtwoord is.
De onderzoekers ontdekten daarnaast ook een tweede kwetsbaarheid in de apparatuur van XiongMai Technologies waarop de "CMS" or "NetSurveillance" software draait. De inlog-url voor het apparaat vraagt om een gebruikersnaam en wachtwoord. Zodra de gebruiker inlogt wordt een tweede pagina geladen. Deze pagina blijkt ook direct benaderbaar zonder inloggegevens te zijn. Via de zoekmachine Shodan vonden de onderzoekers in totaal 515.000 apparaten op internet die met beide beveiligingslekken te maken hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.