Über 8000 IP-Adressen plus 1700 gültige Zugangsdaten für IoT-Geräte geleakt
Im Internet schwirrte eine Liste mit IP-Adressen inklusive Zugangsdaten von IoT-Geräten mit aktiviertem Fernzugriff herum.
Ein Unbekannter hat auf Pastebin eine Liste mit 8233 IP-Adressen nebst gültigen Nutzernamen und Passwörtern von IoT-Geräten wie Routern veröffentlicht, warnt der Sicherheitsforscher Ankit Anubhav.
Die Aufstellung soll seit Juni online gewesen und regelmäßig gepflegt worden sein. Seitdem es Berichte über diese Liste gibt, sollen die Zugriffszahlen von 700 auf über 13.000 angestiegen sein. Mittlerweile ist sie offline.
Max Mustermann kapert Router
Die Geräte waren zeitweise via Telnet-Session über das Internet erreichbar. In Kombination mit der Liste haben nicht nur professionelle Angreifer leichtes Spiel und können die Geräte für etwa DoS-Attacken kapern. Verschiedene Sicherheitsforscher gehen davon aus, dass viele Geräte bereits in den Händen von Kriminellen sind. Darauf deutet der bei vielen Geräte von Botnet-Malware vergebene Nutzername "GMB182" hin.
Darüber hinaus vermuten sie, dass einige IoT-Geräte aus der Liste unter Angreifern herumgereicht werden: Oft überlebt eine Malware den Reboot von zum Beispiel einem Router nicht und der nächste Angreifer kann sich über das Gerät hermachen.
Das alte Spiel ...
Erschreckend dabei ist, dass nur 144 der 8233 Hosts ein spezifisches Pärchen aus Nutzernamen und Passwort aufweisen: Der Großteil wird mit Standard-Login-Daten betrieben. Im Werkszustand sind das oft der Nutzername "admin" und das Passwort "root". Kommt mal ein anderes Passwort zum Einsatz, soll dieses oft schwach sein und sich mit vergleichsweise wenig Zeitaufwand via Brute-Force-Attacken erraten lassen.
Als erste Sicherheitsregel bei der Inbetriebnahme gilt es, die Zugangsdaten anzupassen. Zusätzlich sollte man genau abschätzen, ob man einen Fernzugriff über das Internet wirklich benötigt. Andernfalls gilt es, Telnet & Co. auszuschalten. (des)