2016年10月25日,全球內容交付、應用優化及云安全服務領域首屈一指的供應商阿卡邁技術公司(Akamai Technologies, Inc.,以下簡稱:Akamai)的威脅研究團隊于今日發布了一份新的研究報告。Akamai研究員Ory Segal和Ezra Caltum發現,攻擊者最近利用一個名為“SSHowDowN Proxy”的OpenSSH漏洞,發起了一連串的攻擊,而這個漏洞已經有12年的歷史——該漏洞允許通過物聯網設備遠程生成攻擊流量。
如需獲取詳細介紹攻擊的完整報告,請從此處下載:
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/sshowdown-exploitation-of-iot-devices-for-launching-mass-scale-attack-campaigns.pdf。
概覽
請注意,本研究及其的后續的咨詢行為將不會介紹這一漏洞的新類型或攻擊技術,而是會說明:互聯網接入設備的許多默認配置中長期存在薄弱環節。這些設備容易易收到大規模攻擊活動的利用。
威脅研究團隊發現SSHowDowN Proxy瞄準以下類型的設備進行攻擊:
· CCTV、NVR、DVR設備(視頻監控)
· 衛星天線設備
· 聯網設備(如路由器、熱點、WiMax、電纜和ADSL調制解調器等)
· 連接到互聯網的NAS設備(網絡附加存儲)
· 易受攻擊的其他設備等
受攻擊的設備被用于:
· 針對大量互聯網目標和面向互聯網的服務(如HTTP、SMTP和網絡掃描)發起攻擊
· 針對托管這些連接設備的內部網絡發起攻擊
一旦惡意用戶訪問 Web 管理控制臺,他們便能夠危害設備數據,在某些情況下甚至可以完全接管機器。
Akamai 威脅研究高級總監Ory Segal解釋稱:“當出現DDoS和其他類型的Web攻擊時,事情會變得有趣起來;我們可以將其稱之為‘無法修復的物聯網’。出廠的新設備不僅有這種漏洞,而且沒有任何有效的修復方法。多年來,我們一直聽到的是:理論上,物聯網設備可能會受到攻擊。但不幸的是,理論已經成為現實。”
防御
上述漏洞的抵御方式包括:
· 如果設備提供訪問及更改SSH密碼或密匙的權限,請更改供應商的默認密碼或密匙。
· 如果設備提供文件系統的直接訪問:
· 將“AllowTcpForwarding No”添加到全局sshd_config文件。
· 將“no-port-forwarding”和“no-X11-forwarding”添加到所有用戶的~/ssh/authorized_keys文件。
· 如果上面的選項都不可用,或者如果正常運行不需要SSH訪問,則可通過設備的管理控制臺完全禁用SSH。
如果設備位于防火墻后面,請考慮執行以下一項或多項操作:
· 從所有已經部署的物聯網設備22端口的網絡外部禁用入站連接
· 從物聯網設備禁用出站連接(運行所需的最小端口設置和IP地址除外)。
Akamai持續監控和分析與此持續物聯網威脅相關的數據。若需了解更多信息,請在以下地址免費下載研究白皮書:
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/sshowdown-exploitation-of-iot-devices-for-launching-mass-scale-attack-campaigns.pdf。
京公網安備 11010502049343號