廠商將帳號密碼寫死在裝置裡面,是消費型物聯網 (IoT) 裝置、工業用監控與資料擷取 (SCADA) 裝置、甚至關鍵基礎建設目前所面臨的嚴重問題之一。儘管目前已出現要求廠商嚴格審查原始程式碼與韌體的呼聲,但這類漏洞仍屢見不鮮,對使用者的隱私和資料安全造成危害。
資安研究員 Elliot Williams 在 Hackaday 網站上撰文 指出,絕大多數 DBLTek 公司生產的 GSM 轉 IP 裝置內部都有一組寫死的帳號密碼可用來執行管理員權限的指令。此問題已通報給廠商,但廠商似乎並對該漏洞進行修補,反而是採用了迂迴的作法,多加了一道自製的驗證程序,但其演算法卻是可經由反向工程得知。Trustwave 部落格上的一篇文章對整起事件有完整的說明,而且目前 Github 上也已經可以找到專門攻擊該漏洞的工具。
經由物聯網裝置搜尋引擎 Shodan 可以找到許多公開的 DBLTek GoIP 裝置,有些已包含新的驗證流程,但有些沒有。趨勢科技找到的裝置大多位於英國、巴西、烏克蘭和德國。隨機測試了幾個裝置之後可以發現,大多數裝置都已更新到內含額外驗證手續的新版韌體。
圖 1:在 Shodan 上搜尋含有漏洞的 DBLTek 裝置。
企業的 GoIP 裝置一旦遭到入侵,就可能對區域網路內的 VoIP 軟體造成危險,駭客可以對外或對內撥打電話、聽取語音信箱、存取 SIP 中繼連線,以及在內部網路四處遊走。由於該裝置還提供了路由器模式 (可變成一台家用路由器),因此一旦遭到駭客入侵,很可能危及經由該裝置上網的電腦。
趨勢科技不建議將 IoT 裝置和 VoIP 閘道直接連上網際網路,因為這樣做會讓裝置暴露在外,少了路由器的保護。