工控系统血色事件：6000多台Lantronix设备的密码已经泄露

事件回顾

美国NewSky Security 安全公司近期发现6460多台装备了Lantronix公司生产的网络设备发生了 Telnet 密码被泄露的事故。根据安全研究人员的分析，如果这些Telnet 密码被攻击者得到，他们就可以借此针对连接的设备发动大规模网络攻击。

Lantronix公司提供工业级设备联网和远程IT管理解决方案，工业级设备联网模块包含嵌入式串口转以太网,串口转WiFi模块,嵌入式Linux串口模块,机架型多串口服务器等。据悉，本次发生事故的6000多台装备均被广泛用于连接工业控制系统，且都是老旧设备，只具备串行端口。经过调查，这些以太网服务器串口是转用于连接远程设备的接口，例如：产品UDS和xDirect可以轻松通过LAN 或WAN连接管理设备，从而实现与具备串行接口的任何设备进行以太网连接。

如果是黑客看到这个消息，一定会赶紧查找这些设备的具体信息，以伺机发动攻击。登录Shodan，就会发现有48%设备信息已经被曝光了。

何为Shodan？

谷歌、百度等搜索引擎通过引用返回的内容进行检索，而Shodan则通过来自各种设备的HTTP header以及其它标志性信息进行检索。Shodan可以收集这些设备的信息，并根据其所属国家、操作系统、品牌以及许多其它属性进行分类。可以大致把谷歌、百度看做是网站内容搜索，而把Shodan看做是网络设备搜索。

最坏的攻击后果

攻击者不仅可以使用泄露的Telnet 密码控制相关设备，而且还能在获得特权访问后将串行命令发送到连接设备，除此之外，攻击者还可以通过在端口 30718 上发送一个格式错误的请求来检索 Lantronix 设备配置。

另外，研究人员在Metasploit渗透测试论坛上发现了一个 Lantronix 的“Telnet密码恢复” 模块，该模块可以通过配置端口（30718/udp，默认在Lantronix设备的旧版本上启用），检索从 Lantronix 串口到以太网设备所记录的全部安装设置，并以明文方式提取Telnet密码。经过分析，此次问题就出在这些老旧设备无法更新并运行新发布的升级补丁。