事件回顧

美國 NewSky Security 安全公司近期發現 6460 多臺裝備了 Lantronix 公司生產的網絡設備發生了 Telnet 密碼被泄露的事故。根據安全研究人員的分析，如果這些 Telnet 密碼被攻擊者得到，他們就可以借此針對連接的設備發動大規模網絡攻擊。

[[213950]]

Lantronix 公司提供工業級設備聯網和遠程 IT 管理解決方案，工業級設備聯網模塊包含嵌入式串口轉以太網 , 串口轉 WiFi 模塊 , 嵌入式 Linux 串口模塊 , 機架型多串口服務器等。據悉，本次發生事故的 6000 多臺裝備均被廣泛用于連接工業控制系統，且都是老舊設備，只具備串行端口。經過調查，這些以太網服務器串口是轉用于連接遠程設備的接口，例如：產品 UDS 和 xDirect 可以輕松通過 LAN 或 WAN 連接管理設備，從而實現與具備串行接口的任何設備進行以太網連接。

如果是黑客看到這個消息，一定會趕緊查找這些設備的具體信息，以伺機發動攻擊。登錄 Shodan，就會發現有 48% 設備信息已經被曝光了。

何為 Shodan?

谷歌、百度等搜索引擎通過引用返回的內容進行檢索，而 Shodan 則通過來自各種設備的 HTTP header 以及其它標志性信息進行檢索。Shodan 可以收集這些設備的信息，并根據其所屬國家、操作系統、品牌以及許多其它屬性進行分類。可以大致把谷歌、百度看做是網站內容搜索，而把 Shodan 看做是網絡設備搜索。

最壞的攻擊后果

攻擊者不僅可以使用泄露的 Telnet 密碼控制相關設備，而且還能在獲得特權訪問后將串行命令發送到連接設備，除此之外，攻擊者還可以通過在端口 30718 上發送一個格式錯誤的請求來檢索 Lantronix 設備配置。

另外，研究人員在 Metasploit 滲透測試論壇上發現了一個 Lantronix 的 "Telnet 密碼恢復 " 模塊，該模塊可以通過配置端口(30718/udp，默認在 Lantronix 設備的舊版本上啟用)，檢索從 Lantronix 串口到以太網設備所記錄的全部安裝設置，并以明文方式提取 Telnet 密碼。經過分析，此次問題就出在這些老舊設備無法更新并運行新發布的升級補丁。