Báo cáo: Hàng ngàn hệ thống nhúng trên Net không có bảo vệ

Report: Thousands of embedded systems on the net without protection

1 March 2012, 17:32

Theo: http://www.h-online.com/security/news/item/Report-Thousands-of-embedded-systems-on-the-net-without-protection-1446441.html

Bài được đưa lên Internet ngày: 01/03/2012

Lời người dịch: Hàng ngàn các hệ thống nhúng trên Net không có bảo vệ. “Sự quét được xem xét cho 1 triệu máy chủ web đích trong một khoảng thời gian ngắn và đi tới kết quả sau: nhiều ngàn thiết bị đa chức năng (hơn 3.000 thiết bị của Canon, 1.200 máy photocopy của Xerox, 20.000 thiết bị của Ricoh trong số nhiều thiết bị khác), 8.000 thiết bị IOS của Cisco và hầu như 10.000 hệ thống VoIP và điện thoại đã không yêu cầu bất kỳ sự xác thực đăng nhập nào”. “Điều này có nghĩa là bất kỳ người sử dụng web nào cũng có thể truy cập được các giao diện web của họ thông qua một trình duyệt và xem được các tài liệu mà được lưu trữ trong các máy in và các máy photocopy như vậy, chuyển tiếp các bức fax đến tới một số bên ngoài, hoặc ghi lại các công việc quét. Với các thiết bị HP, những sự thâm nhập như vậy có thể được triển khai bằng một script mà, mỗi giây, sẽ gọi một URL mà biến số của nó chỉ là một thời điểm đầu của UNIX và có thể dễ dàng đoán được”.

Ít năm qua, các nhà nghiên cứu đã liên tục thể hiện cách các máy chủ web dễ dàng được nhúng trong các dịch vụ như các máy in đa chức năng và các hệ thống tiếng nói qua Internet VoIP có thể bị theo dõi qua web; tuy nhiên, hàng ngàn máy tính vẫn không được bảo vệ.

Tại Hội nghị RSA hiện đang diễn ra, Michael Sutton của Zscaler đã đưa ra bằng chứng xa hơn rằng nhiều máy chủ web nhúng (EWS - Embedded Web Server) có thể dễ dàng truy cập được từ những người bên ngoài thông qua Internet. Ở những nơi các máy in đa chức năng hoặc các hệ thống hội thoại qua video được kết nối, điều này có thể gây ra những rò rỉ dữ liệu nghiêm trọng: các máy in lưu trữ các tệp được quét, được fax và được in trên các đĩa cứng và sau đó để lộ ra những tài liệu thường là nhạy cảm này. Phần cứng hội thoại qua video cho phép những người bên ngoài giám sát các phòng từ xa hoặc nghe các cuộc họp đang diễn ra.

Mục tiêu của Sutton là để quét hàng triệu máy chủ web và tạo ra một catalogue của tất cả các máy chủ web mà ông tìm thấy. Những kiểm thử đầu tiên của ông liên quan tới Nmap và Cơ sở dữ liệu Thâm nhập của Google (GHDB - Google Hacking Database). Tuy nhiên, công cụ này đã không chứng minh được sự rất thành công, khi Nmap không dò tìm ra được đủ các dấu vết của EWS và vì thế, sẽ sản sinh ra thông tin thiết bị không có ích. Mặt khác, Google, không cho phép tìm kiếm các câu hỏi thông qua scripts và có thể có những sự quét bằng tay đòi hỏi mất thời gian.

Nhà nghiên cứu về an ninh này đã kết thúc bằng việc sử dụng máy quét trực tuyến Shodan (www.shodanhq.com). Sutton đã giải thích rằng Shodan có một cơ sở dữ liệu khổng lồ có chứa thông tin đầu đề HTTP của các hệ thống EWS, cho phép những thiết bị như vậy được xác định với độ chính xác. Nhà nghiên cứu này đã đưa vào các chuỗi ký tự điển hình từ các trang web của các máy chủ web nhúng vào Shodan. Để tự động hóa quá trình đó, Sutton đã sử dụng một Perl script chỉ gửi các yêu cầu đầu đề (HEAD) thông qua Shodan. Script này đã được đặt chỗ trong vài cài đặt triển khai của micro EC2 trong đám mây của Amazon mà, theo nhà nghiên cứu này, chỉ mất có vài USD.

Over the past few years, researchers have repeatedly demonstrated how easily web servers that are embedded in devices such as multi-function printers and VoIP systems can be tracked down over the web; however, thousands of machines remain unprotected.

At the RSA Conference, which is ongoing, Zscaler's Michael Sutton has provided further evidence that many embedded web servers (EWS) can be easily accessed by outsiders via the internet. Where multi-function printers or video conferencing systems are concerned, this can cause serious data leaks: the printers store scanned, faxed and printed files on hard disks and then disclose these often sensitive documents. Video conferencing hardware allows outsiders to monitor rooms remotely or listen to meetings that are in progress.

Sutton's aim was to scan a million web servers and create a catalogue of all the embedded web servers he found. His first tests involved Nmap and the Google Hacking Database (GHDB). However, neither tool proved very successful, as Nmap doesn't detect enough EWS fingerprints and will, therefore, produce useless device information. Google, on the other hand, doesn't allow search queries via scripts and would have required time-consuming manual scans.

The security researcher ended up using the Shodan online scanner (www.shodanhq.com). Sutton explained that Shodan has a huge database containing the HTTP header information of EWS systems, allowing such devices to be identified with accuracy. The researcher entered typical character strings from the embedded web servers' web pages into Shodan. To automate the process, Sutton used a Perl script that only sent HEAD queries via Shodan. The script was hosted on several EC2 micro instances in Amazon's cloud which, according to the researcher, only cost a few US dollars.

Sự quét được xem xét cho 1 triệu máy chủ web đích trong một khoảng thời gian ngắn và đi tới kết quả sau: nhiều ngàn thiết bị đa chức năng (hơn 3.000 thiết bị của Canon, 1.200 máy photocopy của Xerox, 20.000 thiết bị của Ricoh trong số nhiều thiết bị khác), 8.000 thiết bị IOS của Cisco và hầu như 10.000 hệ thống VoIP và điện thoại đã không yêu cầu bất kỳ sự xác thực đăng nhập nào. Thứ sau bao gồm 1.100 thiết bị của nhà sản xuất Đức Snom. Những thiết bị này bao gồm các tính năng dò gói và theo dõi PCAP một cách mặc định. Được nhập vào trong Wireshark, sự theo dõi này có thể được chuyển thành một tệp âm thanh của hội thoại của điện thoại.

Đa số các thiết bị được dò tìm ra đã không được bảo vệ bằng mật khẩu, Sutton nói. Điều này có nghĩa là bất kỳ người sử dụng web nào cũng có thể truy cập được các giao diện web của họ thông qua một trình duyệt và xem được các tài liệu mà được lưu trữ trong các máy in và các máy photocopy như vậy, chuyển tiếp các bức fax đến tới một số bên ngoài, hoặc ghi lại các công việc quét. Với các thiết bị HP, những sự thâm nhập như vậy có thể được triển khai bằng một script mà, mỗi giây, sẽ gọi một URL mà biến số của nó chỉ là một thời điểm đầu của UNIX và có thể dễ dàng đoán được.

Sự quét mà Sutton thực hiện cũng đã xác định hơn 9.000 hệ thống hội thoại qua video bằng Polycom và Tandberg (bây giờ là Cisco). Lý do có khả năng nhất vì sao các thiết bị đó đã có khả năng truy cập mở được trên net là vì chúng tất cả đều sử dụng giao thức H.323 và đòi hỏi vô số các cổng phải được mở trong tường lửa. Michael Sutton nghĩ rằng nhiều người quản trị viên né tránh thứ này, đặt các hệ thống của họ vào trong một vùng DMZ. Chuyên gia an ninh này CNTT đã sử dụng một video để trình bày cách ông giám sát các phòng hội nghị được nhằm tới thông qua một hệ thống hội thoại video được cung cấp cả âm thanh và hình ảnh.

Công ty của Sutton bây giờ đang cung cấp máy quét brEWS một cách không mất tiền, mà nó chuyên trong việc dò tìm ra các máy chủ web nhúng. Để tránh đặt vũ khí đó vào tay của bọn tội phạm, các cuộc quét chỉ có thể chạy trong một đoạn 1/24 của mạng. Ở giai đoạn sau, nhà nghiên cứu này cũng có kế hoạch đưa ra một trình duyệt bổ sung sẽ cho phép các nhà quản trị xem xét các mạng nội bộ được bảo vệ; sự bổ sung này sẽ triển khai việc quét và sau đó gửi các kết quả tới máy chủ brEWS để nhận diện.

The scan managed to examine the targeted one million web servers in a short time and came up with the following results: many thousands of multi-function devices (more than 3,000 devices by Canon, 1,200 Xerox photocopiers, 20,000 Ricoh devices, among others), 8,000 Cisco IOS devices and almost 10,000 VoIP systems and phones didn't require any log-in authentication. The latter included 1,100 devices by the German manufacturer Snom. These devices include packet tapping features and PCAP tracing by default. Imported into Wireshark, the trace can be converted into a sound file of the telephone conversation.

The majority of the detected devices were not protected by passwords, Sutton said. This means that any web user can access their web interfaces through a browser and view the documents that are stored on such photocopiers and printers, forward incoming faxes to an external number, or record scan jobs. With HP devices, such intrusions can be carried out by a script that, every second, calls a URL whose only variable is UNIX epoch time, which can easily be guessed.

The scan run by Sutton also identified more than 9,000 video conferencing systems by Polycom and Tandberg (now Cisco). The most likely reason why these devices were openly accessible on the net is that they all use the H.323 protocol and require numerous ports to be opened in the firewall. Michael Sutton thinks that many administrators shy away from this, placing their systems in a DMZ instead. The IT security expert used a video to demonstrate how he managed to monitor the targeted conference rooms via an accessible video conferencing system that provided both sound and images.

Sutton's company is now providing the brEWS scanner free of charge, which specialises in detecting embedded web servers. To avoid placing the weapon into the hands of criminals, scans can only be run in a /24 subnet. At a later stage, the researcher also plans to offer a browser add-on that will allow administrators to examine protected internal networks; this add-on will carry out the scan and then send the results to the brEWS server for identification.

(Uli Ries / fab)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com