
Steeds meer aanvallen op verouderd telnet
Hackers lijken weer steeds meer gebruik te maken van het oude remote beheerprotocol telnet. In het derde kwartaal van vorig jaar was 10% van de aanvallen vanaf een mobiel netwerk gericht op telnet.
Hackers lijken weer steeds meer gebruik te maken van het oude remote beheerprotocol telnet. In het derde kwartaal van vorig jaar was 10% van de aanvallen vanaf een mobiel netwerk gericht op telnet.

Steeds meer aanvallen op verouderd telnet
Hackers lijken weer steeds meer gebruik te maken van het oude remote beheerprotocol telnet. In het derde kwartaal van vorig jaar was 10% van de aanvallen vanaf een mobiel netwerk gericht op telnet.
Hackers lijken steeds meer gebruik te maken van het verouderde remote beheerprotocol telnet. Dat meldt content delivery bedrijf Akamai in een rapport over trends in internetverkeer dat ieder kwartaal uitkomt. Uit dat rapport blijkt dat ruim 10% van de aanvallen die afkomstig waren vanaf mobiele netwerken, gericht waren op servers met telnet. Een opvallende piek voor het sterk verouderde protocol.
17% van de aanvallen
Alhoewel de aanvallen afkomstig waren vanaf mobiele netwerken lijkt het er volgens Akamai niet op dat de aanvallen ook met mobieltjes uitgevoerd werden. Het bedrijf denkt dat dit verkeer waarschijnlijk van besmette computers komt die verbinding hebben gemaakt met een draadloos netwerk op een telefoon.
Als alle verkeersbronnen meegerekend worden, waren in het derde kwartaal van 2010 zo’n 17% van alle aanvallen gericht op telnet. Poort 23, die gebruikt wordt voor telnet, was bovendien met ‘overweldigende’ voorsprong de meest aangevallen poort in Egypte, Peru en Turkije.
Sterk verouderd
Telnet is een protocol waarmee het mogelijk is om op afstand op een computer in te loggen en deze te beheren. Dat beheer kan dan alleen via de command line. Een nadeel van telnet is dat het erg slecht beveiligd is. Logingegevens gaan bijvoorbeeld als ongecodeerde tekst over het internet.
Hoewel het protocol erg achterhaald is, 'vergeten' veel beheerders het protocol uit te zetten, aldus Akamai. De opvolger van telnet is Secure Shell (SSH). Dat protocol biedt wel versleuteling. Opvallend genoeg werd dit protocol in China het meeste aangevallen in het onderzochte kwartaal.
Windows bestanden delen
Wereldwijd was poort 445 de poort die het meest werd aangevallen in het derde kwartaal van 2010. De aanvallen op die poort namen wel af. Poort 445 wordt door Windows computers gebruikt om bestanden met elkaar te delen over een tcp netwerk. Deze aanval piekte ruim een jaar geleden. De worm Conficker verspreidde zich toen nog razendsnel met behulp van deze Windows-functie.
De afname van aanvallen op dit protocol kan volgens de onderzoekers komen doordat internetproviders steeds meer besmette computers kunnen indentificeren en isoleren. Ook worden steeds meer besmette systemen geüpdatet of gepatcht, waardoor het virus zich niet verder verspreidt. Volgens de onderzoekers is het percentage aanvallen op dit protocol wel nog steeds ‘significant’.
De enige reden dat poort 23 (of poort 445) minder wordt aangevallen is omdat elk zichzelf respecterend modem (of router) NAT toepast waardoor achterliggende machines onzichtbaar zijn tenzij specifiek daarvoor poorten worden opengezet en gerouteerd.
Diegene die die logins open laat staan op een VLAN waar jan en alleman op zit moeten ze sowieso op non-actief zetten. (helemaal als alle passwords nog op default staan, gevalletje RTFM lijkt me.)
Overigens heb je hier juist een woordenboek nodig, een met de default logins wel te weten.
Excuseer. Dat is keihard onwaar.
Elke beheerder, die zijn server goed inricht, weet dat je in ieder geval alle servers die luisteren op een publiek IP adres moet afschermen met een set van publieke en private sleutels. In dat geval heb je allen nog maar last van de logmeldingen in de authorisatie log.
Daar kun je overigens ook weer makkelijk vanaf komen door dit in de firewall op te nemen, voorbeeld met iptables voor machine met een interne en een externe interface:
#!/bin/sh
#
# Variabelen en interfaces
IPTABLES="/sbin/iptables"
ext="eth0"
int="eth1"
# Beperk de toegang tot de externe interface (ext)
#
lijst="D A"
for i in $lijst ; do
$IPTABLES -${i} INPUT -i ${int} -p tcp --dport 22 -j ACCEPT ;
$IPTABLES -${i} INPUT -i ${ext} -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 7 --name SSH -j DROP ;
$IPTABLES -${i} INPUT -i ${ext} -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT ;
$IPTABLES -${i} OUTPUT -p tcp --sport 22 -j ACCEPT ;
done
Ook in het bedrijfsleven hebben managed switches, routers en firewalls vaak een shell servertje op telnet draaien. Natuurlijk weet iedere beheerder dat je dergelijke logins alleen open moeten zetten op een voorbehouden VLAN, en niet gewoon op het publieke VLAN.
Er zullen tegenwoordig weinig servers zijn die nog telnet hebben draaien. Beheerders die telnet aanzetten, die hebben vaak een reden om dat te doen en weten waar ze mee bezig zijn. Beheerders(?) die niets van telnet weten zullen het ook niet per ongeluk aanzetten omdat bij nagenoeg geen enkele mainstream linux/unix nog standaard telnetd wordt meegeinstalleerd. Ik vraag me dus af wat er precies wordt aangevallen... (DSL routertjes zijn alleen intern met telnet te benaderen, en iemand die er intern op zit, die heeft daar meestal wel iets te zoeken (bekend met wifi key etc.).
Onzin. Telnet is slechts een protocol. Authenticatie is geen onderdeel van het protocol, het protocol heeft enkel wat control-mechanismes, maar authenticatie word nergens geforceerd.
Zelf heb ik ooit een MUD servertje gebouwd dat een telnet poortje open gooit en het hele authenticatie mechanisme moet je zelf bouwen, geen mechanisme, geen authenticatie.
Het protocol wordt niet aangevallen, de service wordt aangevallen.
Het telnet protocol kun je gebruiken voor 1001 toepassingen, het beschikbaar stellen van een shell is er slechts 1 van, voor alle MU* toepassingen wordt nog steeds ontzettend veel telnet gebruikt.
Ik maak dagelijks gebruik van Telnet en mijn verbinding is SSL beveiligt.
De Muck die ik bezoek heeft een poort (8898) speciaal gereserveerd voor SSL verbindingen.
Natuurlijk moet je Telnet client wel SSL ondersteunen.
Woordenboek overbodig [Link]
Dat aspect is voor deze aanvallen ook niet van belang natuurlijk. Voor bijvoorbeeld een dictionary attack is SSH immers net zo vatbaar. Het is wel opmerkelijk, en daar doel ik op, dat dit door het ontbreken van versleuteling ontzettend verouderde protocol nog steeds zoveel gebruikt wordt dat het nog steeds zo in trek is bij hackers.
Zou inderdaad kunnen gaan om ADSL routers maar dat vermeldt het onderzoek niet.
Woeps! Ik gooi SSL en SSH door elkaar heen!
Sorry, was nog niet helemaal wakker. :-/
Volgens mij is het niet mogelijk om telnet te gebruiken zonder dat je daarvoor een gebruikersnaam en wachtwoord instelt. Dat is deel van het protocol. Dat er misschien veel beheerders zijn die standaardinstellingen gebruiken kan natuurlijk wel maar doet daar niets aan af. Dat maakt telnet ook niet onveiliger. Het protocol is gewoon onveilig omdat het in tegenstelling tot SSH (en dat is wat anders dan SSL, over klok en klepel gesproken ;)) niet versleuteld wordt. Alles gaat daarom onversleuteld over het internet en het protocol is daarom ernstig obsolete.
Dat onversleutelde aspect maakt het niet minder vatbaar voor aanvallen dan bijvoorbeeld SSH natuurlijk maar het is wel opmerkelijk dat nog zoveel mensen een ontzettend verouderd protocol gebruiken dat het één van de meest aangevallen protocollen is.
Wanneer je telnet hebt draaien en je wilt er op inloggen, heb je altijd authenticatie nodig, dwz je hebt altijd een gebruikersnaam en wachtwoord nodig. Een beheerder zal toch hopelijk niet zo stom zijn om accounts zonder wachtwoorden te gebruiken... of alle accounts toegang te geven tot telnet...
Helaas gebeurd bovenstaande erg vaak, gelukkig is tegenwoordig telnet standaard niet meer aangezet...
Telnet is als het gaat om aanvallen met woordenboeken e.d. niet onveiliger dan SSH. Het kost misschien minder resources aan de kant van de hacker, maar aangezien dat toch voornamelijk vanuit botnets gebeurt, is het weinig interessant.
Je kunt bij SSH iets als rate limiting instellen, bij telnet zie je vaak dat de inetd de inkomende verbindingen voor een paar minuten blokkeert als het er erg veel worden. En daar bovenop kun je met je firewall natuurlijk ook nog een hoop doen.
Wat dit verhaal niet vermeldt, en wat wel eens de achtergrond van de piek kan zijn, is dat telnet nog regelmatig open staat op ADSL-routers. En die wachtwoorden worden ook regelmatig op factory default gelaten. Vaak doen die routers geen ssh. PC's in een zombie netwerk worden uiteindelijk wel een keer gedetecteerd, en/of opnieuw geinstalleerd als er teveel rommel op komt te staan. Toegang tot een router is dan een handige manier om toch een zombienetwerk in de lucht te kunnen houden. Je kunt via de router immers makkelijker bij achterliggende computers komen, die daar met een misplaatst gevoel van veiligheid ongepatcht achter kunnen staan. Of die daar ongepatcht achter staan tijdens een herinstallatie.
Mijn indruk van dit artikel is, de journalist heeft een klok horen luiden maar weet niet waar de klepel hangt.
Telnet is een protocol, zoals FTP, het is inderdaad een oud protocol maar om nu te zeggen dat het onveilig is gaat wel heel erg ver.
Ik denk dat een betere bewoording is "Heel veel beheerders vergeten de Telnet poort te beveiligen met een wachtwoord waardoor kwaadwilligen kunnen inloggen met admin rechten."
SSL is een encryptie protocol, GEEN terminal protocol, SSL zonder een omgeving die SSL ondersteund (zoals bijvoorbeeld http) doet helemaal niets!
En SSL kan ook worden gebruikt voor het opzetten van beveiligde Telnet verbindingen.
Mijn mening, YMMV
Van embedded OS'en weet ik te weinig, maar ik zou zo geen OS voor een 'reguliere' computer meer kunnen noemen dat telnet standaard actief heeft staan. Je kunt bijna niet vergeten het uit te zetten omdat het nergens meer aan staat.Tuurlijk, optioneel kun je 't wel weer installeren en inschakelen en zo'n beetje elk OS dat ik ken heeft ook een telnetclient aan boord, maar ik mag aannemen dat je weet wat je doet wanneer je daarmee aan de slag gaat.
Wat maakt het uit voor een aanval of telnet versleuteld is of niet. Dat is alleen relevant als je afgeluisterd wordt.
Het zal meer zijn dat er potentieel een hoop standaard passwords in telnet omgevingen gebuikt worden en dus eenvoudig geautomatiseerd te zoeken van (met een botnet)
Reageer
Preview