使用物联网设备的SSHowDowN代理攻击

赤舞’威胁研究团队已经发现了最近一连串的SSHowDowN代理攻击,攻击者正在利用物联网(IoT)设备通过使用OpenSSH中存在12年的漏洞来远程生成攻击流量。

SSHowDowN代理攻击

该研究和后续咨询并未介绍新型的漏洞或攻击技术,而是在许多与Internet连接的设备的默认配置中持续存在的缺陷。现在,这些设备正在大规模攻击活动中得到积极利用。

威胁研究小组已观察到源自以下类型设备的SSHowDowN代理攻击:

  • CCTV,NVR,DVR设备(视频监控)
  • 卫星天线设备
  • 联网设备(例如路由器,热点,WiMax,电缆和ADSL调制解调器等)
  • 互联网连接的NAS设备(网络附加存储)
  • 其他设备也可能易受影响。

受损的设备用于:

  • 针对任何种类的Internet目标和任何种类的面向Internet的服务(例如HTTP,SMTP和网络扫描)发起攻击
  • 对托管这些已连接设备的内部网络发起攻击。

一旦恶意用户访问了Web管理控制台,就有可能破坏设备的数据,并在某些情况下完全控制计算机。

“对于DDoS和其他网络攻击,我们正进入一个非常有趣的时期; 赤舞信息安全总监埃里克·科布林(Eric Kobrin)解释道,“可以说,互联网是无法修补的东西”。 “新设备的出厂不仅暴露了此漏洞,而且还没有任何有效的修复方法。多年来,我们一直在听到物联网设备在理论上有可能遭到攻击。不幸的是,这已经成为现实。”

减轻

  • 在设备上配置SSH密码或密钥,然后将其更改为与供应商默认设置不同的密码或密钥。但是,通常在大多数与Internet连接的设备中是不可能的
  • 在设备上配置设备的SSH服务,并执行以下一个或多个步骤:将“ AllowTcpForwarding No”,“ no-port-forwarding”和“ no-X11-forwarding”添加到所有的〜/ ssh / authorized_ keys文件中使用者
  • 完全通过设备禁用SSH’的管理控制台。

如果设备在防火墙后面,请考虑执行以下一项或多项操作:

  • 禁用从网络外部到任何已部署的IoT设备的端口22的入站连接
  • 禁用从IoT设备的出站连接,但不能连接到其操作所需的最小一组端口和IP地址。
分享这个