近2万台路由器泄露Wifi凭证

来源:黑客视界2019.06.20

 

上周末,安全研究人员发现,近19,500台Orange Livebox ADSL(一种ADSL路由器)调制解调器正在泄露WiFi凭证。

网络安全研究和威胁情报机构Bad Packets LLC的联合创始人Troy Mursch说,其公司的蜜罐已经发现至少有一个黑客大量扫描Orange Livebox ADSL的调制解调器,扫描开始时间为12月21日。

攻击者正在利用一个影响Orange LiveBox(后文简称Orange)设备(CVE-2018-20377)的漏洞,这个于2012年被首次登记的漏洞允许远程攻击者通过访问调制解调器的get_getnetworkconf.cgi来获取调制解调器内部WiFi网络的WiFi密码和网络ID(SSID)。

首先,因为攻击者可以将这些详细信息用于近距离攻击。像WiGLE这样的服务允许攻击者仅根据其SSID获取WiFi网络的确切地理坐标。由于Orange调制解调器还泄漏了WiFi密码,攻击者可以前往可疑的高价值目标地址,例如公司或昂贵的住宅,并使用密码访问受害者的网络,并对附近的其他设备发动攻击。

例如,攻击者可以使用WiFi密码连接到家庭网络,查找智能家庭警报并使用这些设备中的漏洞来禁用家庭安全系统。如果Orange调制解调器位于企业网络上,甚至可能趁此窃取公司内部网络的专有技术。

其次,这个漏洞还可用于构建在线僵尸网络。Mursch指出,许多用户倾向于为调制解调器的WiFi网络和后端管理面板重用相同的密码。此面板可用于更改调制解调器的设置,同时也可用于访问敏感信息。“他们可以获得与调制解调器绑定的电话号码,并在Github存储库中详述的其他严重攻击,”Mursch在公司发布的安全报告中表示。

Mursch与媒体共享了一个包含近19,500个Orange LiveBox ADSL调制解调器的列表,他认为这些调制解调器容易暴露WiFi密码和SSID。绝大多数位于Orange Espana(AS12479)的网络上,分配给法国和西班牙的客户。

奇怪的是,对这些脆弱设备进行扫描的攻击者也在同一网络内。但是,目前还不清楚他是使用他的IP地址来扫描其他调制解调器,还是使用其中一个易受攻击的调制解调器本身。Mursch已经向Orange Espana和CERT Spain通报了他的调查结果。Orange的CERT安全团队也已经在Twitter上承认了这个问题。

这不是第一起发现数千台设备在线泄露凭证的事件。此类事件甚至有泛滥成灾的趋势。今年7月,NewSky Security发现,3万多台大华设备的默认管理凭证缓存在物联网搜索引擎中;他们还在去年十二月还发现,有近6500串行到以太网的设备在网上泄露了Telent密码;今年5月,他们又发现一家巴西ISP留下了5000多台没有Telnet密码的路由器连接互联网。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态