Как обнаружили исследователи, тысячи серверов, предназначенных для подключения к сети устройств с последовательным интерфейсом, не защищены паролем и не используют шифрование, что открывает широкие возможности для перехвата передаваемых данных.
Более того, низкий уровень безопасности сохраняется в них годами, как, например, в последовательных серверах производства тайваньской компании Moxa.
Об уязвимостях в серверах Moxa поведал на прошлой неделе исследователь из Rapid7 Иоаким Кеннеди (Joakim Kennedy), посвятивший им отдельную блог-запись. В частности, он рассмотрел уязвимости, о которых Rapid7 сообщила в Moxa еще в 2013 году и которые до сих пор присутствуют в продуктах этой компании. По свидетельству Кеннеди, защиты лишены ряд серверов, производимых Moxa, но особенно отличаются в этом отношении продукты серии NPort 5100. Поскольку установка пароля для них не является обязательной, многие пользователи его не задают и просто настраивают сервер через веб-интерфейс или Telnet.
В итоге злоумышленник сможет без проблем подключиться к такому серверу, обнаружив его с помощью того же Shodan, и манипулировать настройками, в том числе установить пароль, изменить удаленный ввод-вывод, рабочие настройки и список доступных IP-адресов.
Rapid7 обнаружила не менее 5 тыс. веб-серверов, идентифицируемых как Moxa-устройства, а также 2,2 тыс. доступных через Интернет устройств, 46% которых не защищены паролем. Большинство этих уязвимых устройств находятся на территории России и Тайваня, некоторые — в США и Западной Европе. Поскольку последовательные серверы могут использоваться для подключения медицинского оборудования, PoS-систем или промышленных автоматов с целью удаленного администрирования, отсутствие защиты в данном случае сильно встревожило исследователей.
«Обеспечение безопасности унаследованной аппаратуры — задача по сей день не из легких, и это яркий пример того, как не следует поступать, — подчеркивает Кеннеди. — Безопасность приносится в жертву удобству, и во многих случаях потребитель просто использует дефолтные настройки. Чем проще подключение для пользователя, тем оно проще и для атакующего».
Эксперт призывает пользователей никогда не подключать напрямую к Интернету устройства, использующие последовательные серверы. «Если нужен удаленный доступ, а устройства не предполагают шифрованный трафик, соедините последовательный сервер с локальной сетью, доступной, к примеру, лишь по VPN, — советует Кеннеди. — Также ограничьте IP, для которых разрешен доступ к устройству с последовательным интерфейсом, и не забудьте защитить паролем консоль администрирования».
Пока неясно, когда Moxa планирует решить эту проблему и будет ли она вообще решена. Представители вендора откликнулись лишь на отчет Rapid7, поданный в январе. «Они отреагировали на подробный отчет очень быстро, но больше мы от них ничего не слышали», — подтвердил Threatpost Тод Бирдсли (Tod Beardsley), руководитель ИБ-исследований в Rapid7. Moxa на запросы о комментарии так и не ответила.
В минувший четверг Rapid7 также обнародовала хранимую XSS-уязвимость в OpUtils, наборе инструментов от ManageEngine, предназначенном для мониторинга IP-адресов, проверки устройств, подключенных к портам коммутатора, и выполнения других функций по контролю, диагностике и устранению неисправностей. Этот XSS-баг, обнаруженный исследователем Дералом Хейландом (Deral Heiland), позволяет внедрять JavaScript и HTML-код в поля, возвращаемые API- или UI-интерфейсом OpUtils 8.0.
Согласно Хейланду, эксплойт данной уязвимости позволяет злоумышленнику с локальным доступом модифицировать системные настройки, компрометировать данные, захватывать контроль над продуктом и проводить атаки против хост-системы пользователя. Исследователь обнаружил XSS-брешь, а также множество ненадежных прямых ссылок на объект, позволяющих просматривать HTML-код страниц, связанных с OpUtils, в начале текущего года и сообщил о них в ManageEngine и в соответствующую CERT.
