15 октября 2016

[уязвимость] Старая SSH-уязвимость используется для атак на IoT-устройства

Еще в 2004 году эксперты обнаружили проблему CVE-2004-1653, которая тогда скрылась в дефолтной конфигурации OpenSSH (sshd). Патч для уязвимости был представлен в 2005 году, однако теперь исследователи компании Akamai сообщают, что старая проблема по-прежнему сохраняет актуальность и используется для атак на IoT-устройства.

Эксперты Akamai предупреждают (PDF), что проблема, которой дали имя SSHowDowN Proxy, может использоваться для превращения IoT-девайсов в прокси. Уязвимость уже используют злоумышленники, которые компрометируют с ее помощью камеры видеонаблюдения, NVR- и DVR-системы, оборудование для работы спутниковых антенн и так далее.

Как известно, основная слабость многих IoT-устройств – это учетные данные администратора по умолчанию (к примеру, admin/admin или root/root). Но в нормальных обстоятельствах атакующие не могут воспользоваться аккаунтом администратора, подключиться к устройству посредством SSH и выполнять какие-либо команды. Однако есть устройство позволяет устанавливать удаленные SSH-соединения, на помощь атакующим приходит уязвимость CVE-2004-1653 и TCP форвардинг. Специалисты Akamai наблюдали атаки, в ходе которых хакеры создавали SSH-туннель и создавали впечатление, что вредоносный трафик исходит непосредственно с IP-адреса скомпрометированного устройства.

Исследователи подчеркивают, что в ходе атак SSHowDowN Proxy не используются никакие новые баги. Вся проблема состоит лишь в том, что многие производители поставляют свои продукты с небезопасными дефолтными настройками, изменить которые пользователь зачастую просто не может.

Для защиты от подобных атак исследователи рекомендуют отключать SSH вовсе, удалить все незадокументированные аккаунты, запретить TCP форвардинг и, разумеется, поменять логин и пароль по умолчанию.


Источник: «Хакер»