Телнет і ботнет

Недавня найбільша DDoS атака на DNS-сервери компанії Dyn на Хабре не пройшла непоміченою. Особливістю цього блекаут стала широке застосування
http
запитів c IoT пристроїв і відкритий 23-й
tcp
порт, використовуваний службою
telnet
.


Виявляється, телнет живий і добре влаштувався на вбудованих системах і приманки. По злому чи умислу або людському недоумству що це, дурість або зрада? telnet порт був відкритий і щосили паскудив у величезного кількості IoT пристроїв, за кілька місяців до блекаут, але контр-заходів не брали, поки грім не гримнув.
Теоретичний мінімум
Телнет з'явився в кінці 1960-х, а перший стандарт з
tcp/ip
і віртуальним терміналом відноситься до 1983 р. Природно, що в момент створення нікого не турбував той факт, що дані передаються в простому текстовому форматі. Мережний протокол
tcp/ip
в той час ще тільки дозрівав в ARPANET.
Telnet was designed to work between any host (i.e., any operating system) and any terminal. Its specifications in RFC 854 [Postel and Reynolds 1983a] defines the lowest common denominator terminal, called the network virtual terminal (NVT). The NVT is an imaginary device from which both ends of the connection, the client and server, map their real terminal to and from. That is, the client operating system must map whatever type of terminal the user is on to the NVT. The server must then the map NVT into whatever terminal type the server supports.
Як і багато популярні протоколи мережі інтернет, він теж простий до архаїчності і непотоплюваний в силу своєї простоти. І точно так само часто використовується не за призначенням.
(5:574)$ grep -w ^telnet /etc/services
telnet 23/tcp # Telnet
telnet 23/udp

Цікавий факт, виявляється є така штука як
telnets
, але що це за диво, сказати не можу. Навіть пошуковики здивувалися.
(5:575)$ grep -w ^telnets /etc/services
telnets 992/tcp # telnet protocol over SSL/TLS
telnets 992/udp

Ось весь нехитрий список команд:
EOF 236 end-of-file
SUSP 237 suspend current process (job control)
ABORT 238 abort process
EOR 239 end of record
SE 240 suboption end
NOP 241 no operation
DM 242 data mark
BRK 243 break
IP 244 interrupt process
AO 245 abort output
AYT 246 are you there?
EC 247 escape character
EL 248 erase line
GA 249 go ahead
SB 250 suboption begin
WILL 251 option negotiation 
WONT 252 option negotiation
IX) 253 option negotiation
DONT 254 option negotiation
IAC 255 data byte 255

Телнет підтримує підлозі-дуплексний, символьний і рядковий режими введення, за умовчанням програма використовує останній. З ман сторінки.


Once a connection has been opened, telnet will attempt to enable the TELNET LINEMODE option. If this fails, telnet will revert to one of two input modes: either «character at a time» or «old line by line» depending on what the remote system supports.
Використовується внутриполосная сигналізація — команди і дані передаються в одному потоці.
Телнет honeypot
У минулому році фахівці великого чеського DNS провайдера NIC.CZ, викотили приманку — hoteypot і стали спостерігати за трафіком.
Виявилося, що
telnet
трафік втричі перевищує трафік
ssh
. На вертикальній шкалі графіка кількість спроб входу в систему
telnet
і поданих команд
ssh
. Шкала логарифмічна. Кликабельно.



Кількість унікальних IP.


Географія країн, кликабельно. Зверніть увагу на збіг з результатом Shodan, нижче по тексту.

Платформа основних пристроїв, кликабельно.

На першому місці RomPager/4.07 HTTP serverдірявий вбудований веб сервер, часто використовуваний в домашніх роутерах. Таких, за словами аналітиків з Allegro Software Development, може бути 75 мільйонів. На другому місці популярний тулкит gSOAP/2.7, а бронзова медаль дісталася H264DVR 1.0 — RTSP (Real Time Streaming Protocol) сервера відеореєстратора.
Власне, CCTV камери позначені неблагозвучним Dahua Rtsp Server і мають проблеми з безпекою. З травня 2016 р. ці пристрої різко підвищили свою активність, часом було зареєстровано 8 тис. унікальних IP-адрес за добу.
Незважаючи на локальний характер експерименту, висновки про насуваються великомасштабних IoT загрози ніби напрошувалися. Обробивши дані з більш ніж 6 мільйонів унікальних IP-адрес, чеські аналітики чітко виявили тенденцію: вбудовані системи найбільш уразливі, особливо CCTV відеокамери, які часто вироджуються в монокультуру з однаковим устаткуванням, оснасткою, списком вразливостей. Перший дзвіночок пролунав тихо і його не почули.
Огласите весь список
Експерти компанії Rapid7, використовуючи інфраструктуру свого Project Sonar, провели глобальне сканування портів по всьому світу, перевіривши основні
tcp
порти IPv4 діапазону. Дослідження виявилося досить докладним і цікавим.
  • 15 мільйонів хостів з відкритим telnet портом. (Карл!)
  • 11 мільйонів хостів з відкритим доступом до RDBMS
  • 4.5 мільйонів хостів з відкритим доступом до сервісів друку.
Ось як розподілилися перша десятка
tcp/ip
протоколів, за величиною.
Port Protocol Number Percent
80 HTTP 76,266,507 19.89%
443 HTTPS 50,507,072 13.17%
22 SSH 21,692,582 5.66%
21 FTP 20,375,533 5.31%
25 SMTP 19,888,484 5.19%
8080 http alt0 17,477,357 4.56%
23 telnet 14,871,682 3.88%
53 DNS 12,602,272 3.29%
143 IMAP 11,467,158 2.99%
110 POP3 11,073,439 2.89%

Вся тридцятка протоколів в таблиці..


Сьоме місце в загальному заліку, хто б міг очікувати? А якщо об'єднати всі
http*
в одну категорію, то телнет і зовсім буде на п'ятому місці! Як бачите відставання від
ssh
зовсім невелике. Це був другий дзвіночок, але і його ніхто не почув.
said That, the fact that we cannot seem to stomp out telnet in production completely is both frustrating worrying and. According to our scans, there are over 14 million devices that appear to be offering telnet services on the internet today.
100500 вразливих CCTV відеокамер
Фахівці з Flashpoint слідами ботнету Mirai прошерстили інтернет на предмет виявлення цікавих властивостей CCTV відеокамер XiongMai Technologies і Dahua. Як любить говорити Михайло Задорнов «тримайтеся за стілець, інакше ви впадете».


За даними на 6.10.2016 понад 515 тис. пристроїв з веб-сервером
uc-httpd 1.0.0.0
схильні одночасно CVE-2016-1000245 і CVE-2016-1000246.
Вразливість CVE-2016-1000245 — це просто караул. На всіх девайсах один і той же рутовий пароль xc3511, який не можна змінити так як на системі немає команди
пароль
. Служба
telnet
включена і з налаштувань ніяк не відключається, хіба що видалити инит скрипт
/etc/init.d/rcS
.
/etc $ cat passwd
root:absxcfbgXtb3o:0:0:root:/:/bin/sh
/etc $ cat passwd-
root:ab8nBoH3mb8.g:0:0::/root:/bin/sh

All internet-capable XiongMai Technology boards running the DVR/NVR CMS (Also known as
NetSurveillance) enable the telnet service to run on the primary ethernet interface. This service
is run via /etc/rcS and cannot be disabled. The user "root" has a hardcoded and immutable
password of xc3511. These systems do not have the "passwd" tool installed and the root
password cannot be changed from command line nor from the web interface.
Уразливість CVE-2016-1000246 не поступається першій. Можна обійти введення облікового запису та пароля, якщо зайти через
http://<IP>/DVR.htm
.
Many known XiongMai DVRs, NVRs and IP Cameras run "CMS" (also called NetSurveillance) built by XM Technologies. This software is also used by all downstream vendors of XiongMai Technologies. The login page devices for these can be bypassed by simply changing from the http://_IP_/Login.htm to http://_IP_/DVR.htm. This allows you access to view all the camera systems without authentication. Furthermore, there is no logging on the system so user management is not possible. The web-server version on all affected products is the same; «uc-httpd». All products currently affected by CVE-2016-1000245 are also vulnerable to the authentication bypass.
Сподіваюся, що в наших аеропортах не встановлено ці самі XiongMai і Dahua.
Підсумки
Телнет виявився дуже живучий і навіть через десятиліття після появи
ssh
не поспішає покидати сцену. Він цілком придатний, навіть корисний, якщо його використовувати за призначенням — в межах прямої видимості між клієнтом і сервером. Справа, однак, у тому, що телнет вирвався на волю із серверної, як джин із пляшки і вже почав пустувати. З чиєї вини це сталося?
З мого паркану бачу так. По-перше, основна вина на горі-виробниках дірявих IoT пристроїв і вбудованих систем. Всі ці XiongMai і Dahua. З запізненням, але виробник відкликає з продажу IP-камери. Однак, побіжний огляд новин показує, що PR-відділи китайських компаній і співробітники міністерства комерції не дарма їдять свій хліб.
Мені це відділення відомо! Там кому видають паспорти![1]
По-друге, звичайно винні регулюючі органи — ті, хто їх сертифікує і дає позитивний висновок. Зі звіту Rapid7.
These results all speak to a fundamental failure in modern internet engineering. Despite calls from the Internet Architecture Board, the Internet Engineering Task Force, and virtually every security company advocacy and security organization on Earth, compulsory encryption is not a default, standard feature in internet protocol design. Cleartext protocols «just work,» and security concerns are doggedly secondary.[2]
В-третіх, підрядники та інтегратори, які засадили весь світ цими CCTV камерами.
Якщо не вжити законодавчих заходів, що регулюють ІТ безпека інтернет-прасок та відеокамер, то блекаути стануть все частіше і крутіше, як кайдзю.


P. S. Поки набирав текст, виникло сильне бажання — перевірити домашній роутер nmap-ом і іншими інструментами. Перевірив і заспокоївся, але, мабуть, ненадовго.
Використані матеріали
  1. Richard W. Stevens TCP/IP Illustrated, Volume 1, The Protocols, 1994.
  2. TCP/IP крупним планом
  3. Telnet stále žije – alespoň na „chytrých“ zařízeních


  1. З роману М Булгакова «Майстер і Маргарита».
  2. Результати говорять самі за себе. Незважаючи на всі заклики IAB, IETF і практично всіх експертів з безпеки, обов'язкове шифрування ще не стало нормою при розробці інтернет стандартів. Звичайний текст, «просто працює» і через це ігноруються вимоги безпеки.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.