Báo cáo: Hàng ngàn hệ thống nhúng trên Net không có bảo vệ

Report:Thousands of embedded systems on the net without protection

1 March 2012, 17:32

Theo:http://www.h-online.com/security/news/item/Report-Thousands-of-embedded-systems-on-the-net-without-protection-1446441.html

Bài được đưa lênInternet ngày: 01/03/2012

Lờingười dịch: Hàng ngàn các hệ thống nhúng trên Net khôngcó bảo vệ. “Sự quét được xem xét cho 1 triệu máychủ web đích trong một khoảng thời gian ngắn và đi tớikết quả sau: nhiều ngàn thiết bị đa chức năng (hơn3.000 thiết bị của Canon, 1.200 máy photocopy của Xerox,20.000 thiết bị của Ricoh trong số nhiều thiết bịkhác), 8.000 thiết bị IOS của Cisco và hầu như 10.000 hệthống VoIP và điện thoại đã không yêu cầu bất kỳ sựxác thực đăng nhập nào”. “Điều này có nghĩa là bấtkỳ người sử dụng web nào cũng có thể truy cập đượccác giao diện web của họ thông qua một trình duyệt vàxem được các tài liệu mà được lưu trữ trong các máyin và các máy photocopy như vậy, chuyển tiếp các bức faxđến tới một số bên ngoài, hoặc ghi lại các công việcquét. Với các thiết bị HP, những sự thâm nhậpnhư vậy có thể được triển khai bằng một script mà,mỗi giây, sẽ gọi một URL mà biến số của nó chỉ làmột thời điểm đầu của UNIX và có thể dễ dàng đoánđược”.

Ít năm qua, các nhànghiên cứu đã liên tục thể hiện cách các máy chủ webdễ dàng được nhúng trong các dịch vụ như các máy inđa chức năng và các hệ thống tiếng nói qua Internet VoIPcó thể bị theo dõi qua web; tuy nhiên, hàng ngàn máy tínhvẫn không được bảo vệ.

Tại Hội nghị RSAhiện đang diễn ra, Michael Sutton của Zscaler đã đưa rabằng chứng xa hơn rằng nhiều máy chủ web nhúng (EWS -Embedded Web Server) có thể dễ dàng truy cập được từnhững người bên ngoài thông qua Internet. Ở những nơicác máy in đa chức năng hoặc các hệ thống hội thoạiqua video được kết nối, điều này có thể gây ra nhữngrò rỉ dữ liệu nghiêm trọng: các máy in lưu trữ cáctệp được quét, được fax và được in trên các đĩacứng và sau đó để lộ ra những tài liệu thường lànhạy cảm này. Phần cứng hội thoại qua video cho phépnhững người bên ngoài giám sát các phòng từ xa hoặcnghe các cuộc họp đang diễn ra.

Mục tiêu của Suttonlà để quét hàng triệu máy chủ web và tạo ra mộtcatalogue của tất cả các máy chủ web mà ông tìm thấy.Những kiểm thử đầu tiên của ông liên quan tới Nmap vàCơ sở dữ liệu Thâm nhập của Google (GHDB - Google HackingDatabase). Tuy nhiên, công cụ này đã không chứng minh đượcsự rất thành công, khi Nmap không dò tìm ra được đủcác dấu vết của EWS và vì thế, sẽ sản sinh ra thôngtin thiết bị không có ích. Mặt khác, Google, không chophép tìm kiếm các câu hỏi thông qua scripts và có thể cónhững sự quét bằng tay đòi hỏi mất thời gian.

Nhà nghiên cứu vềan ninh này đã kết thúc bằng việc sử dụng máy quéttrực tuyến Shodan (www.shodanhq.com). Sutton đã giải thíchrằng Shodan có một cơ sở dữ liệu khổng lồ có chứathông tin đầu đề HTTP của các hệ thống EWS, cho phépnhững thiết bị như vậy được xác định với độchính xác. Nhà nghiên cứu này đã đưa vào các chuỗi kýtự điển hình từ các trang web của các máy chủ webnhúng vào Shodan. Để tự động hóa quá trình đó, Suttonđã sử dụng một Perl script chỉ gửi các yêu cầu đầuđề (HEAD) thông qua Shodan. Script này đã được đặt chỗtrong vài cài đặt triển khai của micro EC2 trong đám mâycủa Amazon mà, theo nhà nghiên cứu này, chỉ mất có vàiUSD.

Overthe past few years, researchers have repeatedly demonstrated howeasily web servers that are embedded in devices such asmulti-function printers and VoIP systems can be tracked down over theweb; however, thousands of machines remain unprotected.

Atthe RSAConference, which is ongoing, Zscaler's Michael Sutton hasprovided further evidence that many embedded web servers (EWS) can beeasily accessed by outsiders via the internet. Whe-re multi-functionprinters or video conferencing systems are concerned, this can causeserious data leaks: the printers store scanned, faxed and printedfiles on hard disks and then disclose these often sensitivedocuments. Video conferencing hardware allows outsiders to monitorrooms remotely or listen to meetings that are in progress.

Sutton'saim was to scan a million web servers and cre-ate a catalogue of allthe embedded web servers he found. His first tests involved Nmap andthe Google Hacking Database (GHDB). However, neither tool proved verysuccessful, as Nmap doesn't detect enough EWS fingerprints and will,therefore, produce useless device information. Google, on the otherhand, doesn't allow search queries via scripts and would haverequired time-consuming manual scans.

Thesecurity researcher ended up using the Shodan online scanner(www.shodanhq.com).Sutton explained that Shodan has a huge database containing the HTTPheader information of EWS systems, allowing such devices to beidentified with accuracy. The researcher entered typical c-haracterstrings f-rom the embedded web servers' web pages into Shodan. Toautomate the process, Sutton used a Perl script that only sent HEADqueries via Shodan. The script was hosted on several EC2 microinstances in Amazon's cloud which, according to the researcher, onlycost a few US dollars.

Sựquét được xem xét cho 1 triệu máy chủ web đích trong mộtkhoảng thời gian ngắn và đi tới kết quả sau: nhiềungàn thiết bị đa chức năng (hơn 3.000 thiết bị củaCanon, 1.200 máy photocopy của Xerox, 20.000 thiết bị củaRicoh trong số nhiều thiết bị khác), 8.000 thiết bị IOScủa Cisco và hầu như 10.000 hệ thống VoIP và điện thoạiđã không yêu cầu bất kỳ sự xác thực đăng nhập nào.Thứ sau bao gồm 1.100 thiết bị của nhà sản xuất ĐứcSnom. Những thiết bị này bao gồm các tính năng dò góivà theo dõi PCAP một cách mặc định. Được nhập vàotrong Wireshark, sự theo dõi này có thể được chuyểnthành một tệp âm thanh của hội thoại của điện thoại.

Đasố các thiết bị được dò tìm ra đã không được bảovệ bằng mật khẩu, Sutton nói. Điều này có nghĩa làbất kỳ người sử dụng web nào cũng có thể truy cậpđược các giao diện web của họ thông qua một trìnhduyệt và xem được các tài liệu mà được lưu trữtrong các máy in và các máy photocopy như vậy, chuyển tiếpcác bức fax đến tới một số bên ngoài, hoặc ghi lạicác công việc quét. Với các thiết bị HP, những sựthâm nhập như vậy có thể được triển khai bằng mộtscript mà, mỗi giây, sẽ gọi một URL mà biến số củanó chỉ là một thời điểm đầu của UNIX và có thể dễdàng đoán được.

Sựquét mà Sutton thực hiện cũng đã xác định hơn 9.000 hệthống hội thoại qua video bằng Polycom và Tandberg (bây giờlà Cisco). Lý do có khả năng nhất vì sao các thiết bịđó đã có khả năng truy cập mở được trên net là vìchúng tất cả đều sử dụng giao thức H.323 và đòi hỏivô số các cổng phải được mở trong tường lửa.Michael Sutton nghĩ rằng nhiều người quản trị viên nétránh thứ này, đặt các hệ thống của họ vào trong mộtvùng DMZ. Chuyên gia an ninh này CNTT đã sử dụng một videođể trình bày cách ông giám sát các phòng hội nghị đượcnhằm tới thông qua một hệ thống hội thoại video đượccung cấp cả âm thanh và hình ảnh.

Côngty của Sutton bây giờ đang cung cấp máy quét brEWS mộtcách không mất tiền, mà nó chuyên trong việc dò tìm racác máy chủ web nhúng. Để tránh đặt vũ khí đó vàotay của bọn tội phạm, các cuộc quét chỉ có thể chạytrong một đoạn 1/24 của mạng. Ở giai đoạn sau, nhànghiên cứu này cũng có kế hoạch đưa ra một trình duyệtbổ sung sẽ cho phép các nhà quản trị xem xét các mạngnội bộ được bảo vệ; sự bổ sung này sẽ triển khaiviệc quét và sau đó gửi các kết quả tới máy chủbrEWS để nhận diện.

Thescan managed to examine the targeted one million web servers in ashort time and came up with the following results: many thousands ofmulti-function devices (more than 3,000 devices by Canon, 1,200 Xeroxphotocopiers, 20,000 Ricoh devices, among others), 8,000 Cisco IOSdevices and almost 10,000 VoIP systems and phones didn't require anylog-in authentication. The latter included 1,100 devices by theGerman manufacturer Snom. These devices include packet tappingfeatures and PCAP tracing by default. Imported into Wireshark, thetrace can be converted into a sound file of the telephoneconversation.

Themajority of the detected devices were not protected by passwords,Sutton said. This means that any web user can access their webinterfaces through a browser and view the documents that are storedon such photocopiers and printers, forward incoming faxes to anexternal number, or record scan jobs. With HP devices, suchintrusions can be carried out by a script that, every second, calls aURL whose only variable is UNIX epoch time, which can easily beguessed.

Thescan run by Sutton also identified more than 9,000 video conferencingsystems by Polycom and Tandberg (now Cisco). The most likely reasonwhy these devices were openly accessible on the net is that they alluse the H.323 protocol and require numerous ports to be opened in thefirewall. Michael Sutton thinks that many administrators shy awayf-rom this, placing their systems in a DMZ instead. The IT securityexpert used a video to demonstrate how he managed to monitor thetargeted conference rooms via an accessible video conferencing systemthat provided both sound and images.

Sutton'scompany is now providing the brEWSscanner free of c-harge, which specialises in detecting embedded webservers. To avoid placing the weapon into the hands of criminals,scans can only be run in a /24 subnet. At a later stage, theresearcher also plans to offer a browser add-on that will allowadministrators to examine protected internal networks; this add-onwill carry out the scan and then send the results to the brEWS serverfor identification.

(UliRies / fab)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com