Le password Telnet di 515 mila dispositivi finiscono online

Un anonimo hacker ha pubblicato questa settimana un elenco di credenziali Telnet di oltre 515 mila tra server, router domestici e dispositivi smart IoT. L'elenco, reso pubblico su un popolare forum di hacker, comprende l'indirizzo IP di ciascun dispositivo assieme alla coppia username e password che permette di accedervi tramite il protocollo Telnet, usato appunto per poter accedere a e controllare sistemi e dispositivi di vario genere tramite Internet.

La lista è stata verosimilmente realizzata effettuando una scansione dell'intera rete per individuare dispositivi esposti su internet con porta Telnet aperta e successivamente l'hacker potrebbe aver tentato l'impiego, ovviamente in maniera automatizzata, di combinazioni user/password di default o combinazioni facili da indovinare.

Questo genere di elenchi è chiamato in gergo "bot list", e rappresentano un elemento comune per la realizzazione di botnet IoT. Gli hacker scandagliano Internet per costruire bot list ed usarle per collegarsi ai dispositivi vulnerabili ed installare malware. Solitamente questi elenchi non vengono divulgati, sebbene sia capitato in passato qualche caso simile come per esempio la lista dei 33 mila accessi Telnet di router domestici circolata in rete ad agosto del 2017. In ogni caso la vicenda di questi giorni rappresenta la più grande lista di credenziali di accesso Telnet mai circolata prima d'ora.

ZDNet ha raccolto alcune informazioni sulla vicenda e pare che l'elenco sia stato pubblicato online dal gestore di un servizio DDoS a noleggio. Le credenziali risalgono ai mesi di ottobre e novembre 2019 e quindi è possibile che una parte dei dispositivi - non è dato sapere quanto grande o piccola - possa aver cambiato IP e/o credenziali di accesso.

Tuttavia anche se l'elenco dovesse contenere credenziali non più valide, esso rappresenta un elemento di incredibile valore per un attaccante con esperienza: i dispositivi con cattive configurazioni non sono diffusi in maniera omogenea su internet, ma spesso si trovano raggruppati sulla rete di un singolo provider di connettività, questo perché talvolta i dispositivi sono configurati in malo modo dallo staff del provider quando vengono allestiti presso i clienti. In uno scenario come questo un attaccante potrebbe usare un indirizzo IP incluso nella lista, individuare la rete del provider di connettività ed effettuare uno scan della sua rete per aggiornare l'elenco con i nuovi indirizzi IP.

Il consiglio, in questo caso, è quello di assicurarsi di non avere dispositivi protetti da una coppia username/password preimpostata di fabbrica e, quando possibile, proteggere la rete domestica tramite firewall.