我对 Mirai 等蠕虫的理解如下:
目标似乎通常是家庭/消费设备,它们位于家庭局域网上。来自维基百科:
[Mirai] 主要针对在线消费设备,例如远程摄像头和家庭路由器。
所以这就是我不明白的。为什么远程摄像头/打印机/任何东西都有面向公众的 IP?它们只能通过网关通过 NAT 访问,对吗?所以端口 23 上的 telnet 请求永远不会到达它!
例如。假设我买了一台带有 telnet 凭据“root:123456”的摄像机。然后我将它连接到我的wifi。为什么我拥有这个易受攻击的摄像头对网络外的 Mirai 蠕虫很重要?如果蠕虫尝试远程登录到我的公共 IP,它只能尝试远程登录到我的路由器,而不是摄像头!
虽然此类设备不应直接暴露,但它可能会发生,而不仅仅是通过草率的设置或 UPnP。
受感染的路由器、内部恶意软件、恶意广告等都可能在内部网络中造成漏洞。
此外,有时可能会发生对其他安全网络所做的更改可能会无意中暴露内部资源。当人们开始尝试物联网时,这种情况尤其可能发生。
最后,消费者设备有可能附带供应商提供的 Internet 服务以获得“安全”远程连接,而这可能没有得到适当的保护。例如,许多 NAS 提供了一种远程访问它们的方法,而无需创建入站防火墙规则。NAS 连接到供应商服务器,您还可以通过某些 Web 服务或应用程序远程连接到该服务器。许多消费者物联网设备都带有类似的服务,允许从手机访问(遥控器、加热控制等)。
这个问题是由于人们希望能够从互联网上访问他们的相机。他们没有使用更安全的策略,而是通过端口转发(或 uPnP 实现)将其暴露给互联网。由于制造商通常对这些设备进行不良维护并且很少收到更新,因此这会带来重大危险。这不仅仅是默认密码,还可能有几个古老的零日攻击。
根据定义,路由器直接连接到互联网,因此该设备中的任何漏洞都准备好受到攻击。