Más de 1700 credenciales telnet de IoTs disponibles en la red

IoT

Varios expertos de seguridad están manteniendo una carrera contra el reloj para avisar a los dueños de cerca de 2000 dispositivos IoT conectados a internet de la necesidad de cambiar sus contraseñas inmediatamente. Sus aparatos podrían ser hackeados.

Resulta que el pasado Jueves se publicó en Pastebin una lista bastante importante con nada menos que 33000 IPs asociadas a IoTs que podrían ser fácilmente hackeados por estar incluídas las credenciales de acceso en la misma. Los servicios filtrados eran principalmente de servicios Telnet.

Lista de credenciales telnet se populariza en redes sociales

El jueves solo tuvo unas 1000 visitas pero, al publicarse el viernes en Twitter su popularidad se disparó hasta casi 30000 visitas, con el consecuente peligro de caer en manos equivocadas.

Lista filtrada de credenciales telnet para dispositivos IoT

El sábado, Victor Gevers de la fundación GDI comentaba que, de las 33000 direcciones inicialmente filtradas, solo unas 1700 estaban ya en peligro, aunque estaba siendo difícil ponerse en contacto con todo el mundo.

Dentro de la lista predominan credenciales típicias como root:root, admin:admin o incluso algunas sin autenticación.

Conviene tener mucho cuidado con el “internet de las cosas” que podamos tener en casa, dado que este tipo de dispositivos ha sido abusado sin piedad en meses anteriores para lanzar ataques DDoS como los perpetrados por la conocida botnet Mirai.

Más de 1700 credenciales telnet disponibles aún

Muchas de las 33000 direccions IP filtradas están duplicadas por diferentes motivos, por tanto el número de direcciones únicas está en torno a 8200. La mayor parte de las direcciones corresponden a China y el resto, en su mayoría son de Asia.

dispositivos

Aparecen como duplicadas (algunas hasta 10 veces) posiblemente indicando que existían varias cuentas asociadas a una IP, o bien que han sido vulneradas repetidamente.

Las credenciales más populares son las siguientes:

  • root:[en blanco] (782)
  • admin:admin (634)
  • root:root (320)
  • admin:default (21)
  • default:[en blanco] (18)

El archivo colgado en Pastebin fue encontrado por Ankit Anubhav, quien decidio hacer dichos datos públicos para otros investigadores. En escasos dos días ha tenido más de 36000 visualizaciones.

Por otro lado, el volcado de pastebin contiene también referencias a muchos scripts maliciosos, con nombres como los siguientes: Easy to Rootkit, Mirai Bots, Mirai-CrossCompiler, Apache Struts 2 RCE Auto-Exploiter v2, etc.

Recientemente, la botnet Mirai dejó KO el servicio DynDNS y de paso tumbó unas cuantas webs importantes, además de ser utilizada para realizar un ataque DDoS sobre el proveedor de hosting OVH. Por tanto, si no quieres que recluten a tus IoT para lanzar DDoS (y tener que responder quizá alguna que otra pregunta incómoda) es mejor prevenir que curar.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.