Пароли десятков тысяч устройств Dahua находятся в поисковой выдаче

Пароли десятков тысяч устройств Dahua находятся в поисковой выдаче

Пароли от десятков тысяч устройств Dahua находились в поисковой выдаче ZoomEye (поисковая система для обнаружения подключенных к Сети IoT-устройств). Закешированные учетные данные обнаружил эксперт компании NewSky Security Анкит Анубхав.

Оказалось, что обнаруженные пароли предназначаются для видеомагнитофонов (DVR) Dahua с крайне старой прошивкой, которую затрагивает уязвимость пятилетней давности.

Эту уязвимость (CVE-2013-6117) в свое время обнаружил и описал Джейк Рейнольдс, исследователь компании Depth Security.

По словам Анубхава, который объяснил процесс эксплуатации, злоумышленник может инициировать «сырое» (raw) TCP-соединение с магнитофонами Dahua на порту 37777, это позволит отправить специальный пейлоад.

Как только устройство получит этот пейлоад, оно ответит учетными данными DDNS для доступа к нему. Все это передается в виде простого текста.

Проблема возникла из-за того, что многие владельцы устройств Dahua не смогли обновить свое оборудование. Эта брешь известна с 2013 года, патчи для нее давно доступны.

Позже специалист обнаружил, что поисковая система ZoomEye индексировала учетные данные этих проблемных устройств.

«Дело в том, что злоумышленнику не обязательно использовать эту уязвимость, поскольку ZoomEye сканирует порт 37777. Затем поисковая система кеширует вывод в виде простого текста. Таким образом, киберпреступнику надо лишь перейти в ZoomEye, создать бесплатную учетную запись, и он получит необходимые данные», — объясняет Анубхав.

Владельцы поисковой системы ZoomEye не видят в этой ситуации особой проблемы. Они считают, что «блокировка данных в ZoomEye не решит проблему», поисковая система не планирует удалять эти данные из выдачи.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Let’s Encrypt через два дня отзовёт миллионы сертификатов

Популярный центр сертификации Let’s Encrypt с 28 января 2022 (эта пятница) начинает отзывать сертификаты SSL / TLS, выпущенные за последние 90 дней. Пользователей предупреждают, что эта процедура может затронуть миллионы действующих сертификатов.

Напомним, что некоммерческая организация Let's Encrypt подчиняется Internet Security Research Group (ISRG). Центр сертификации выпускает бесплатные криптографические сертификаты стандарта X.509, обеспечивающие шифрование передаваемых по сети данных.

Сторонние исследователи, изучившие репозиторий Let's Encrypt, проинформировали ISRG о двух проблемах (PDF) в имплементации метода валидации «TLS с использованием ALPN».

Чтобы исправить недостаток, Let’s Encrypt потребовалось вынести два изменения в работу проверки TLS-ALPN-01.

«Все действующие сертификаты, выпущенные с проверкой TLS-ALPN-01 до 26 января 2022 года, будут считаться некорректными. Всё дело в фиксе, который мы выпустили на этой неделе», — объяснили представители центра сертификации.

Таким образом, 28 января около 19:00 Let’s Encrypt начнёт отзывать проблемные сертификаты, которых затронула брешь метода валидации TLS-ALPN-01. По оценкам сотрудников, проблема коснулась менее 1% от всех выпущенных сертификатов.

Учитывая, что активных сертификатов на сегодняшний день насчитывается более 221 млн, один процент на деле может значить миллионы отозванных. НКО обещает уведомить по электронной почте всех, кого коснётся эта процедура.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru