Akamai Technologies, specialista di servizi di Content Delivery Network, ha identificato nuovi abusi della vulnerabilità di OpenSSH nel corso di una nuova ricerca condotta dal Threat Research Team, la divisione dell’azienda che si occupa di monitorare e analizzare le minacce informatiche.
I ricercatori Ory Segal ed Ezra Caltum hanno scoperto una recente ondata di attacchi in cui vengono utilizzati dispositivi IoT (Internet of Things) per generare in remoto traffico di attacco sfruttando una vulnerabilità di OpenSSH, nota come SSHowDowN Proxy, che si protrae da ormai 12 anni.
Panoramica
È importante notare che la ricerca e la successiva notifica non riguardano un nuovo tipo di vulnerabilità o di tecnica di attacco, quanto piuttosto un punto debole che si protrae ormai da tempo e che riguarda molte delle configurazioni predefinite dei dispositivi connessi a Internet. Questi dispositivi vengono ora sfruttati in attacchi su vasta scala contro clienti Akamai.
Il Threat Research Team ha osservato che gli attacchi SSHowDowN hanno origine dai seguenti tipi di dispositivi:
– Dispositivi CCTV, NVR, DVR (video sorveglianza)
– Apparecchiature di antenne satellitari
– Dispositivi di rete (ad esempio router, hotspot, WiMax, modem via cavo e ADSL e così via)
– Dispositivi NAS (Network Attached Storage) connessi a Internet
– Non è escluso che anche altri dispositivi siano suscettibili a questo tipo di vulnerabilità
I dispositivi compromessi vengono utilizzati per i seguenti scopi:
– Lanciare attacchi contro una moltitudine di obiettivi Internet e servizi presenti in Internet, come HTTP, SMTP e scansione della rete
– Lanciare attacchi contro reti interne che ospitano questi dispositivi connessi.
Una volta che gli utenti malintenzionati hanno avuto accesso alla console di amministrazione web, sono in grado di compromettere i dati dei dispositivi e, in alcuni casi, anche di assumere il controllo completo del dispositivo.
Mitigazione
Alcuni degli approcci consigliati per mitigare gli attacchi includono:
– se il dispositivo offre accesso per modificare password o chiavi SSH, cambiare le impostazioni di fabbrica;
– se il dispositivo offre accesso diretto al file system:
• aggiungere “AllowTcpForwarding No” nel file globale sshd_config.
• aggiungere “no-port-forwarding” e “no-X11-forwarding” nel file delle chiavi ~/ssh/authorized_ per tutti gli utenti;
– se nessuna di queste opzioni è disponibile oppure se non è richiesto accesso SSH per il normale funzionamento del dispositivo, disabilitare completamente SSH tramite la console di amministrazione del dispositivo.
Se il dispositivo si trova dietro un firewall, valutare una o più delle seguenti opzioni:
– disabilitare le connessioni in entrata dall’esterno della rete sulla porta 22 di ciascuno dei dispositivi IoT implementati;
– disabilitare le connessioni in uscita dai dispositivi IoT fatta eccezione per il gruppo minimo di porte e indirizzi IP necessari per garantirne il funzionamento.
Per approfondire le tematiche legate alla sicurezza, scarica gratuitamente due White Paper da questo link