Ein DDoS-Botnetz-Betreiber hat eine umfangreiche Liste von 515.000 Telnet-Anmeldeinformationen veröffentlicht. Das Datenleck umfasst Kennwörter von Servern, Heimroutern und IoT-Geräten (Internet of Things).
Betreiber eines DDoS-Dienstes greift Daten von Telnet ab
Einem ZDNet-Bericht zufolge, wurde die Liste in einem beliebten Hacking-Forum veröffentlicht und enthielt die IP-Adresse jedes geleakten Geräts sowie Benutzernamen und Kennwort für den Telnet-Dienst. Telnet ist ein Fernzugriffsprotokoll, mit dem man Geräte über das Internet steuern kann. Es wird sowohl für die Remote-Verwaltung, als auch für die Erstkonfiguration von Geräten, wie Netzwerkhardware, verwendet.
Hacker suchte nach offenen Telnet-Ports
ZDNet stellte fest, dass der Hacker an die Daten kam, indem er das gesamte Internet nach Geräten durchsucht hat, die ihren Telnet-Port offenlegten. Der Hacker versuchte dann, die werkseitig eingestellten Standardbenutzernamen und -kennwörter oder benutzerdefinierte, aber leicht zu erratende, Kennwortkombinationen zu verwenden. Mit Listen dieser Art lassen sich Botnetzwerke aufbauen, wobei sich Angreifer über Telnet mit den Geräten verbinden, um entsprechende Schadsoftware aufzuspielen. Anschließend kann man damit DDoS-Angriffe ausführen.
Auf die Frage, warum der Hacker eine so umfangreiche Liste veröffentlicht hat, gab der Leaker an, dass er seinen DDoS-Service von der Arbeit mit IoT-Botnetzen auf ein neues Modell umgestellt hat, das auf der Anmietung von Hochleistungsservern von Cloud-Dienstanbietern beruht.
Alle vom Hacker geleakten Listen sind von Oktober bis November 2019 datiert. Bei vielen der Geräte kann man davon ausgehen, dass man sie nicht mehr unter der angegebenen IP-Adresse erreichen kann. Auch werden viele Login Daten bereits veraendert worden sein.
Grzegorz Wypych, Senior Security Consultant bei IBM X-Force Red, erläutert:
„Dies war eine Zero-Day-Sicherheitslücke, die man bisher nicht gemeldet hatte. Sie kann sich sowohl auf das Heim- als auch auf das Geschäftsumfeld auswirken. Aufgrund dieser Router-Sicherheitsanfälligkeit konnte ein Angreifer die Konfiguration des Routers über Telnet im lokalen Netzwerk (LAN) steuern. und über das LAN oder das WAN (Wide Area Network) eine Verbindung zu einem FTP-Server (File Transfer Protocol) herstellen. Die Schwachstelle konnte man ausnutzen, indem man einfach eine Zeichenfolge, die länger als die zulässige Anzahl von Bytes ist, über eine HTTP-Anforderung sendet. Dies wird auch als Passwortüberlauf bezeichnet. Die integrierte Validierung überprüft die HTTP-Header des Verweisenden. Dadurch wurden die TP-Link-Router zu der Annahme verleitet, dass es sich um eine gültige HTTP-Anforderung handelt. Das Kennwort wurde ungültig und durch einen leeren Wert ersetzt.“
Betreiber eines DDoS-Dienstes greift Daten von Telnet ab
Einem ZDNet-Bericht zufolge, wurde die Liste in einem beliebten Hacking-Forum veröffentlicht und enthielt die IP-Adresse jedes geleakten Geräts sowie Benutzernamen und Kennwort für den Telnet-Dienst. Telnet ist ein Fernzugriffsprotokoll, mit dem man Geräte über das Internet steuern kann. Es wird sowohl für die Remote-Verwaltung, als auch für die Erstkonfiguration von Geräten, wie Netzwerkhardware, verwendet.
Hacker suchte nach offenen Telnet-Ports
ZDNet stellte fest, dass der Hacker an die Daten kam, indem er das gesamte Internet nach Geräten durchsucht hat, die ihren Telnet-Port offenlegten. Der Hacker versuchte dann, die werkseitig eingestellten Standardbenutzernamen und -kennwörter oder benutzerdefinierte, aber leicht zu erratende, Kennwortkombinationen zu verwenden. Mit Listen dieser Art lassen sich Botnetzwerke aufbauen, wobei sich Angreifer über Telnet mit den Geräten verbinden, um entsprechende Schadsoftware aufzuspielen. Anschließend kann man damit DDoS-Angriffe ausführen.
Auf die Frage, warum der Hacker eine so umfangreiche Liste veröffentlicht hat, gab der Leaker an, dass er seinen DDoS-Service von der Arbeit mit IoT-Botnetzen auf ein neues Modell umgestellt hat, das auf der Anmietung von Hochleistungsservern von Cloud-Dienstanbietern beruht.
Alle vom Hacker geleakten Listen sind von Oktober bis November 2019 datiert. Bei vielen der Geräte kann man davon ausgehen, dass man sie nicht mehr unter der angegebenen IP-Adresse erreichen kann. Auch werden viele Login Daten bereits veraendert worden sein.
Grzegorz Wypych, Senior Security Consultant bei IBM X-Force Red, erläutert:
„Dies war eine Zero-Day-Sicherheitslücke, die man bisher nicht gemeldet hatte. Sie kann sich sowohl auf das Heim- als auch auf das Geschäftsumfeld auswirken. Aufgrund dieser Router-Sicherheitsanfälligkeit konnte ein Angreifer die Konfiguration des Routers über Telnet im lokalen Netzwerk (LAN) steuern. und über das LAN oder das WAN (Wide Area Network) eine Verbindung zu einem FTP-Server (File Transfer Protocol) herstellen. Die Schwachstelle konnte man ausnutzen, indem man einfach eine Zeichenfolge, die länger als die zulässige Anzahl von Bytes ist, über eine HTTP-Anforderung sendet. Dies wird auch als Passwortüberlauf bezeichnet. Die integrierte Validierung überprüft die HTTP-Header des Verweisenden. Dadurch wurden die TP-Link-Router zu der Annahme verleitet, dass es sich um eine gültige HTTP-Anforderung handelt. Das Kennwort wurde ungültig und durch einen leeren Wert ersetzt.“
