Telnet后门或威胁超过100万台物联网收音机

近期，有安全研究人员发现，Imperial和Dabman系列的物联网收音机存在弱密码缺陷，可以让攻击者远程以root权限进行非法访问（该设备内嵌Linux BusyBox操作系统），并完全控制设备。之后，攻击者可把已控制设备加入僵尸网络，向设备发送自定义音频流，监听所有收音机消息，还可以找到收音机已连接WiFi的密码。

这个漏洞被标记为CVE-2019-13473，涉及收音机上23端口的Telnet服务。由于该Telnetd服务使用了弱密码（硬编码在设备中），只要通过简单的密码暴力破解，攻击者就可获得对收音机及其内嵌操作系统的访问权限。

在测试中，研究人员表示，只要使用自动的“ncrack”脚本，十分钟内就可破解密码。值得一提的是，设备的硬编码密码为“password”。

受影响的版本:

• Bobs Rock Radio
• Dabman D10
• Dabman i30 Stereo
• Imperial i110
• Imperial i150
• Imperial i200
• Imperial i200-cd
• Imperial i400
• Imperial i450
• Imperial i500-bt
• Imperial i600

在登录到设备后,研究人员能够直接访问etc目录下需要root特权才能访问的各种文件，包括含有系统密码的shadow文件，包含USB密码和httpd服务密码的wifi.cfg文件，还有一些敏感的无线网络信息。

根据安全研究人员周一发布的一份报告，目前为止，他们能够访问和httpd、Telnet有关的所有文件，还可以激活ftp协议。此外，研究人员还发现了一个名为UIData的路径，其中包含设备web服务（开放在80端口和8080端口）的所有文件(二进制文件、xml、图片、文本和其他内容)。为了进行测试，我们编辑了一些文件夹、创建了文件并修改了路径，以便测试我们是否能改变web服务的源代码。最终证明了我们能够完全控制设备的任何组件和服务。

而更为严重的是，研究人员还发现该设备上的AirMusic客户端存在第二个漏洞(CVE-2019-13474)，未经身份验证的命令执行。

研究人员表示，通过苹果iOS上的收音机应用，结合端口扫描结果，发现AirMusic客户端可能通过80和8080端口的httpd服务来发送和接收命令。经过一个小时的测试，最终研究人员确定能够通过web服务向客户端发送命令。

以上这两个漏洞一旦组合起来，可能会激发一系列恶意网络活动。攻击者可以监听、更改广播流或发送自己的实时消息或音频文件。

攻击者还可把设备改造成僵尸网络中的一员，利用它的web服务传递勒索软件和恶意病毒。

PoC视频如下:

https://youtu.be/odyB15MRY3Q

研究人员称，这些漏洞“影响了Imperial和Dabman品牌的大量网络收音机”。他们表示，有100多万台设备处于危险之中。目前这些收音机由Telestar Digital GmbH在德国销售，并在亚马逊(Amazon)和eBay上面对全球进行销售，广泛应用于家庭和办公环境。Telstar表示，今后设备将停止使用Telnet服务，并为现有设备发布安全补丁。

CyRC Synopsys的首席安全策略管Tim Mackey通过电子邮件表示，这些弱密码设备让人想起最初Mirai僵尸网络是如何搭建的，一个弱密码的Telnet端口就可让攻击者为所欲为。安全性永远是物联网产品的关键因素。如非必要，禁止对外开放任何端口，此外还需定期的安全更新，让消费者感觉到正使用的设备是安全的。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/
     https://www.vulnerability-lab.com/get_content.php?id=2183