网络设备安全搜索引擎 Shodan 的创始人John Matherly在2014年12月进行了一项个人研究,他发现西班牙、英国在内的国家有超过250,000个路由器使用了相同的SSH密钥。
Matherly当时正在修改SSH的banner收集指纹,然后他注意到某几个SSH密钥被多台设备同时使用。
dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0
正因为这些路由器使用了相同的SSH私钥,所以其中允许远程访问的路由器都可能遭遇黑客入侵。
Matherly认为这些路由器都是西班牙电话公司所有的,所有设备统一使用了相同的操作系统镜像进行设置。
“看起来所有使用这个指纹的路由器都是由西班牙电话公司部署的Dropbear SSH instance,部分路由器默认开启了SSH,而西班牙电话公司决定使用相同的操作系统镜像对所有设备进行设置。”
Matherly发现西班牙有200,000台设备使用了相同的SSH密钥,另外150,000台设备也使用了相同的密钥。
Matherly在GitHub发布了这些重复的指纹,他同时还发布了他用来寻找重复SSL序列号的 Python脚本 。
https://gist.github.com/achillean/07f7f1e6b0e6e113a33c
Reddit网友cybergibbons在英国 进行 了一次类似的分析,也发现了很多相同的指纹。榜单中的前三名分别是Sky Broadband, TalkTalk和BT Plusnet(英国的三个运营商)部署的。
7c:a8:25:21:13:a2:eb:00:a6:c1:76:ca:6b:48:6e:bf --> 11561台设备 a8:99:c2:92:08:fb:5e:de:4b:96:14:de:61:df:ad:6d --> 7875台设备 03:56:e6:52:ee:d2:da:f0:73:b5:df:3d:09:08:54:b7 --> 2224台设备 b4:af:64:0c:9a:ed:ed:4d:b1:c0:12:5d:c9:e4:c8:f0 --> 1210台设备 eb:65:52:6e:40:28:af:a6:36:5b:b3:b4:0c:5d:32:3d --> 1082台设备 39:aa:e4:e9:a2:e7:c1:04:9d:00:9f:b6:99:d5:9c:bd --> 879台设备 57:94:42:63:a1:91:0b:58:a6:33:cb:db:fe:b5:83:38 --> 777台设备 f9:76:13:e7:86:11:8b:64:0f:e0:39:ea:e9:14:a7:18 --> 742台设备 14:96:82:72:6f:bc:a5:14:53:1c:72:71:0d:8b:cb:c2 --> 740台设备 34:47:0f:e9:1a:c2:eb:56:eb:cc:58:59:3a:02:80:b6 --> 726台设备
[参考来源 SecurityAffairs ,译/Sphinx,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]