Un expert d'Avast explique ce que les consommateurs devraient savoir sur la fuite d'un demi-million d'informations d'identification de sécurité pour les serveurs, les routeurs domestiques et les appareils intelligents
Un pirate a récemment divulgué une liste de plus d'un demi-million d'informations d'identification Telnet pour les serveurs, les routeurs domestiques et les appareils intelligents, les laissant ainsi vulnérables aux attaques. Marko Zbirka, chercheur sur les menaces relatives aux objets connectés chez Avast, a répondu aux questions clés liées à l'incident - et pourquoi il est important pour les consommateurs d'en prendre conscience.
Q : À quoi sert Telnet ?
R : Telnet est le protocole utilisé pour fournir un accès à distance aux appareils. Le protocole a été développé en 1969 pour fournir un accès à distance aux serveurs. Aujourd'hui, il est largement inclus dans les appareils connectés (IoT), mais n'est utilisé que dans des cas spécifiques, par exemple si l'utilisateur a besoin d'un accès complet et à distance au système sous-jacent de l'appareil, pour accéder à distance aux paramètres avancés ou pour déboguer un tel appareil
Q : Quels appareils utilisent couramment le protocole Telnet ?
R : Nous voyons généralement Telnet utilisé par les routeurs, les appareils IoT tels que les caméras IP, les appareils intelligents et même les décodeurs DVT2.
Q : Comment les utilisateurs peuvent-ils savoir si le port Telnet de leurs appareils est exposé ?
R : Les utilisateurs peuvent vérifier si le port Telnet de leurs appareils est exposé en utilisant des fonctionnalités comme Avast Wi-Fi Inspector, incluses dans toutes les versions d'Avast Antivirus. L'inspecteur Wi-Fi analyse le réseau, recherche les appareils utilisant Telnet pour les mots de passe vides, par défaut ou faibles , et alerte les utilisateurs de ceux-ci, afin qu'ils puissent apporter une modification pour sécuriser leur réseau. Il vérifie également les mots de passe connus pour être utilisés par des botnets malveillants dans le passé, y compris le botnet Mirai. Les utilisateurs peuvent également vérifier les paramètres de leur routeur, en se connectant à l'interface d'administration de celui-ci afin de voir si Telnet est activé sur le routeur. Si Telnet n'est pas utilisé activement, nous vous recommandons de le désactiver complètement. Nous recommandons également de vérifier si le transfert de port et UPnP sont activés, et à moins qu'ils ne soient sciemment utilisés, ils doivent également être désactivés.
Q : Où les utilisateurs peuvent-ils modifier leurs informations d'identification Telnet ?
R : Cela dépend toujours de l'appareil lui-même, il est donc important que les utilisateurs consultent le manuel de l'appareil et suivent toujours les meilleures pratiques, telles que la modification des informations de connexion par défaut (nom d'utilisateur et mot de passe) lors de la configuration d'un nouvel appareil. Certains appareils ont des informations d'identification Telnet distinctes, tandis que dans d'autres appareils, le port Telnet est accessible simplement en se connectant à l'appareil lui-même. Les utilisateurs doivent éviter d'utiliser à tout prix le même nom d'utilisateur et le même mot de passe sur plusieurs appareils et comptes. Les cybercriminels tentent souvent de pirater d'autres comptes une fois qu'ils ont mis la main sur une violation de données, y compris les informations de connexion, car ils sont bien conscients que de nombreux utilisateurs utilisent les mêmes informations de connexion sur plusieurs comptes et appareils. Enfin, selon une enquête Avast, 53 % des Américains utilisent le même mot de passe pour protéger plusieurs comptes.
Q : Que peut-on faire avec ces informations de connexion ?
R : Une fois qu'un pirate a réussi à accéder au port Telnet, il peut télécharger et installer des logiciels malveillants et commencer à abuser de l'appareil. Dans la plupart des cas, les pirates utilisent des appareils connectés pour créer un botnet, qu'ils peuvent ensuite utiliser pour les attaques DDoS sur des sites Web populaires, pour l'exploration de crypto-monnaie et pour analyser Internet et le réseau sur lequel l'appareil infecté se trouve pour que d'autres appareils infectent et attaquent. Les utilisateurs peuvent reconnaître que leur appareil fait partie d'un botnet s'ils remarquent que leur appareil répond plus lentement que d'habitude et s'il y a du trafic suspect sortant de l'appareil.
Q : Est-il probable que d'autres pirates analysent également Internet, à la recherche d'appareils avec des ports Telnet exposés ?
R : Oui ! Nous avons 500 honeypots déployés dans le monde qui ont été programmés avec des ports ouverts, tels que TCP : 23 (telnet protocol), TCP : 22 (ssh protocol), TCP : 80 (http protocol), qui se trouvent généralement dans les appareils IoT , apparaissant ainsi comme des dispositifs IoT pour les attaquants. Le but d'un honeypot est d'attirer l'activité cybercriminelle puis d'examiner leurs méthodes d'attaque. Nous leur faisons croire que les appareils qu'ils ciblent sont réels et contiennent des données réelles. Le 19 janvier 2020, nous avons vu des cybercriminels tenter d'accéder au port Telnet de nos honeypots 347 476 fois.
Q : Selon vous, quelle est la probabilité que ces appareils utilisent désormais une adresse IP et / ou des informations de connexion différentes ?
R : Ce n'est pas très probable, car beaucoup de ces appareils sont simplement configurés puis simplement utilisés, de nombreux utilisateurs se connectent à leurs appareils une fois lors de la configuration, le cas échéant, puis plus jamais. Selon une enquête Avast, 43 % des Américains ne savent pas que leur routeur dispose d'une interface d'administration Web où ils peuvent se connecter pour afficher et modifier les paramètres de leur routeur. En ce qui concerne les routeurs, les adresses IP changent parfois au redémarrage du routeur ou lors du passage d'un fournisseur de services Internet (FAI) à un autre.Il est très important de suivre les meilleures pratiques de sécurité.