資安業者Flashpoint上周分析了癱瘓資安部落格KrebsOnSecurity與法國網站代管服務供應商OVH網路的Mirai殭屍網路,發現其中有許多遭到駭客控制的物聯網(IoT)裝置是採用同一中國製造商「雄邁」(XiongMai)所生產的機板,且內建同樣的憑證。
位於中國杭州的雄邁主要生產與銷售白牌的DVR/NVR監視器及網路攝影機(IP Camera)機板及韌體予下游廠商,廠商再根據需求打造自有品牌的產品。
Flashpoint發現,雄邁的裝置採用預設的使用者名稱root及固定密碼xc3511,允許遠端駭客透過Telnet存取,估計網路上有超過50萬台的IoT裝置曝露在此一風險中。
其實在離線裝置中使用預設的憑證並不會有太大問題,但當具備網路介面及遠端登入服務的物聯網裝置興起之後,預設憑證便成為重大的安全漏洞,雖然業者已意識到此一問題,但一直到Mirai殭屍網路帶來接近1Tbps的尖峰攻擊流量之後,才再度讓該議題升溫。
Flashpoint指出,雄邁機板的問題在於密碼是固定的,且不允許使用者變更SSH與Telnet密碼,此外,雄邁的NetSurveillance軟體亦含有可繞過認證的安全漏洞,這些安全上的缺失都讓駭客能夠輕易地建立陣容龐大的殭屍網路。
要真正解決相關安全漏洞必須由雄邁及其下游廠商都展開軟體更新才行,也必須能遠端更新使用者裝置,對於目前缺乏更新程序的IoT裝置而言是個大工程。