Vorige week lekte een lijst uit met 8000 gebruikersnamen en wachtwoorden van internetverbonden apparaten. De meerderheid daarvan waren standaardinstellingen als admin:admin of root:root.

Honeypot

Lijsten als deze zijn ook hardcoded in Mirai-varianten die samen honderdduizenden apparaten hebben veroverd. Met de nieuwe lijst is het nog makkelijker voor kwaadwillenden om een forse lijst standaardcredentials toe te voegen aan hun variant.

"Sinds de Mirai-besmettingen zien we een vrij constante stroom van requests op poort 23 (en ook voor 2323 en 22) die zoeken naar standaardcredentails", schrijft SANS-onderzoeker Johannes Ullrich. Hij hing een kwetsbare digitale videorecorder een dag of twee aan een internetverbinding als honeypot.

Snel besmet

Dergelijke malware voor apparaten routers, camera's en DVR's nestelt zich in het werkgeheugen en is dus weer verdwenen als je een reset uitvoert. Maar als je het wachtwoord dan nog niet hebt gewijzigd, duurt het luttele minuten voor hij opnieuw wordt besmet. Ullrich zag gemiddeld elke twee minuten een besmetting.

De onderzoeker waarschuwt dat dit issue een blijvertje is. "We zien een vrij stabiele set van 100.000 tot 150.000 bronnen die deelnemen aan telnetscans. Dit probleem gaat nergens heen."