Een bekende Amerikaanse beveiligingsonderzoeker heeft meer dan 100.000 apparaten ontdekt die via een terminal server met het internet verbonden zijn en daardoor groot risico lopen om gehackt te worden. Terminal servers, ook bekend als seriële poort servers, bieden remote toegang tot een seriële poort van een ander apparaat via het TCP/IP-protocol.

Ze worden voornamelijk gebruikt om op afstand toegang te krijgen tot apparatuur die standaard niet over een netwerkinterface beschikt, maar kunnen ook voor het monitoren van fysieke mobiele systemen, zoals voertuigen en containers, worden ingezet. Ook bieden ze 'out-of-band' toegang tot netwerk- en stroomapparatuur in het geval er een storing heeft plaatsgevonden.

Toegang
Een doorsnee seriële poort server heeft de omvang van een thuisrouter en beschikt over één of meer seriële poorten en een ethernet, draadloze of mobiele interface. Om toegang te krijgen kan er via telnet, SSH of de webinterface worden ingelogd.

Een andere manier is het gebruik van een specifieke TCP poort die als proxy voor de seriële poort fungeert, waardoor er meteen toegang tot het apparaat kan worden verkregen. Als derde manier is er een door de fabrikant ontwikkeld protocol dat met de poort verbinding maakt. In het geval van de laatste twee manieren hoeft een aanvaller geen inloggegevens te kennen om toegang te krijgen.

Tijdens een grootschalig onderzoek van terminal servers die aan het internet hangen, werden meer dan 13.000 root shells, systeemconsoles en beheerdersinterfaces ontdekt waarvoor geen authenticatie was vereist, of waardoor er toegang werd verkregen doordat een geldige gebruiker eerder al op het systeem had ingelogd.

IP-adressen
Het onderzoek (presentatie) werd uitgevoerd door beveiligingsonderzoeker H.D. Moore, bedenker van de populaire hackertool Metasploit. Hij ontdekte meer dan 114.000 unieke IP-adressen die de terminal servers van Digi International of Lantronix gebruikten en via het Simple Network Management Protocol (SNMP) communiceerden op een manier zodat ook anderen erbij kunnen.

Meer dan 95.000 van deze systemen waren aan het internet blootgesteld via GPRS, EDGE en 3G. Nog eens 14.000 unieke IP-adressen gebruikten Digi of Digi-gebaseerde apparaten waarop het Advanced Device Discovery Protocol (ADDP) van de fabrikant draaide. 8.000 Digi-apparaten werden via hun FTP banner geïdentificeerd. 500 Lantronix systemen werden via hun Telnet banners ontdekt.

Bierbrouwer
Het gaat dan om systemen die verkeerslichten, medische apparatuur, benzinepompen en zelfs de tank van een bierbrouwer monitoren. "Er zijn meer dan 114.000 seriële poort servers toegankelijk vanaf het internet, waarvan meer dan 95.000 via mobiele providers verbonden zijn. Hierdoor zijn meer dan 13.000 seriële poorten blootgesteld, die beheerderstoegang geven tot elke aanvaller die verbinding maakt", waarschuwt Moore.

Volgens de onderzoeker is er weinig bewustzijn hoe blootgesteld deze apparaten zijn. Zowel gebruikers als fabrikanten doen dan ook weinig om de situatie te verbeteren. "Het grote aantal kritieke, bizarre en gewoon heel enge apparaten die via seriële poort servers met het internet verbonden zijn, zijn een aanwijzing hoe gevaarlijk het internet is geworden", concludeert Moore.