Akamai威胁研究团队发现针对OpenSSH漏洞的新一轮滥用行为
2016-11-02
“无法修补的物联网”成为恶意人士的新武器
中国北京,2016年10月25日——全球内容交付、应用优化及云安全服务领域首屈一指的供应商阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)(NASDAQ:AKAM)的威胁研究团队于今日发布了一份新的研究报告。Akamai研究员Ory Segal和Ezra Caltum发现,攻击者最近利用一个名为“SSHowDowN Proxy”的OpenSSH漏洞,发起了一连串的攻击,而这个漏洞已经有12年的历史——该漏洞允许通过物联网设备远程生成攻击流量。
如需获取详细介绍攻击的完整报告,请从此处下载:
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/sshowdown-exploitation-of-iot-devices-for-launching-mass-scale-attack-campaigns.pdf。
概览
请注意,本研究及其的后续的咨询行为将不会介绍这一漏洞的新类型或攻击技术,而是会说明:互联网接入设备的许多默认配置中长期存在薄弱环节。这些设备容易易收到大规模攻击活动的利用。
威胁研究团队发现SSHowDowN Proxy瞄准以下类型的设备进行攻击:
CCTV、NVR、DVR设备(视频监控)
卫星天线设备
联网设备(如路由器、热点、WiMax、电缆和ADSL调制解调器等)
连接到互联网的NAS设备(网络附加存储)
易受攻击的其他设备等
受攻击的设备被用于:
针对大量互联网目标和面向互联网的服务(如HTTP、SMTP和网络扫描)发起攻击
针对托管这些连接设备的内部网络发起攻击
一旦恶意用户访问 Web 管理控制台,他们便能够危害设备数据,在某些情况下甚至可以完全接管机器。
Akamai 威胁研究高级总监Ory Segal解释称:“当出现DDoS和其他类型的Web攻击时,事情会变得有趣起来;我们可以将其称之为‘无法修复的物联网’。出厂的新设备不仅有这种漏洞,而且没有任何有效的修复方法。多年来,我们一直听到的是:理论上,物联网设备可能会受到攻击。但不幸的是,理论已经成为现实。”
防御
上述漏洞的抵御方式包括:
如果设备提供访问及更改SSH密码或密匙的权限,请更改供应商的默认密码或密匙。
如果设备提供文件系统的直接访问:
将“AllowTcpForwarding No”添加到全局sshd_config文件。
将“no-port-forwarding”和“no-X11-forwarding”添加到所有用户的~/ssh/authorized_keys文件。
如果上面的选项都不可用,或者如果正常运行不需要SSH访问,则可通过设备的管理控制台完全禁用SSH。
如果设备位于防火墙后面,请考虑执行以下一项或多项操作:
从所有已经部署的物联网设备22端口的网络外部禁用入站连接
从物联网设备禁用出站连接(运行所需的最小端口设置和IP地址除外)。
Akamai持续监控和分析与此持续物联网威胁相关的数据。若需了解更多信息,请在以下地址免费下载研究白皮书:
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/sshowdown-exploitation-of-iot-devices-for-launching-mass-scale-attack-campaigns.pdf。