Pubblicato elenco di credenziali di accesso a servizi Telnet

20/01/2020

botnet leak telnet

 

Secondo quanto riportato da un articolo pubblicato da Catalin Cimpanu su ZDnet, la scorsa settimana sono state rese pubbliche su un forum underground credenziali di autenticazione e relativi indirizzi IP per accesso tramite il protocollo Telnet. Nello specifico si tratta di un leak che comprende: indirizzi IP, username e password utilizzati per accedere a circa 515.000 dispositivi tra server, router e dispositivi IoT. 

Sembra che le credenziali siano state sottratte e/o collezionate tra il mese di ottobre e novembre 2019 scansionando la rete alla ricerca di dispositivi che espongono la porta Telnet. Chi ha scansionato la rete ha successivamente utilizzato credenziali di default o combinazioni di credenziali facili da indovinare. 

L’elenco pubblicato potrebbe essere sfruttato da utenti malintenzionati per accedere da remoto ai dispositivi interessati. Tale accesso potrebbe a sua volta consentire di utilizzare i dispositivi per condurre attacchi DDoS tramite botnet, ma anche per veicolare malware e altro ancora.

Pare inoltre che il motivo per cui l’autore del leak abbia pubblicato questa ampia lista di credenziali sia dovuto al fatto che il suo servizio di DDoS su botnet IoT abbia cambiato modello di business, basato ora sul noleggio di server decisamente più affidabili incentrato su reti di fornitori di servizi cloud.

Probabilmente, a seguito della pubblicazione della notizia, i gestori dei servizi hanno provveduto a cambiare indirizzo IP o le credenziali di accesso, ma in realtà – come riporta da ZDnet – un utente esperto potrebbe comunque utilizzare gli IP per rilanciare una scansione e individuare le nuove macchine che espongono il servizio.

Conclusioni

Il CERT-PA consiglia innanzitutto di verificare l’effettiva necessità di tenere abilitato l’accesso pubblico al servizio telnet e ove fosse necessario si suggerisce di non utilizzare password di default o sprovviste di requisiti di complessità.