Akamai Threat Advisory

Exploração SSHowDowN de dispositivos de IoT para ativar campanhas de ataques em grande escala

Por Ezra Caltum & Ory Segal, Pesquisa de ameaças da Akamai
Data de emissão: 10.11.16

Resumo executivo

Quantas vezes os usuários finais pensam sobre as configurações padrão de fábrica de seus dispositivos conectados à Internet? Talvez todos devêssemos. Recentemente, a equipe de pesquisa de ameaças da Akamai relatou um caso em que milhões de dispositivos conectados à Internet (IoT) estavam sendo usados como a fonte de campanhas de preenchimento de credenciais baseadas na Web. Quando nós aprofundamos um pouco mais, encontramos evidências de que esses dispositivos de IoT estavam sendo usados como proxies para rotear o tráfego mal-intencionado devido a alguns pontos fracos da configuração padrão em seus sistemas operacionais.

Embora isso tenha sido relatado antes, a vulnerabilidade ressurgiu com o aumento dos dispositivos conectados. Nossa equipe está trabalhando atualmente com os fornecedores de dispositivos mais predominantes em um plano proposto de atenuação. Gostaríamos de enfatizar que este não é um novo tipo de vulnerabilidade ou técnica de ataque, mas sim uma fraqueza em muitas configurações padrão de dispositivos conectados à Internet, que está sendo ativamente explorado em campanhas de ataques em grande escala contra clientes da Akamai.

Observamos ataques de SSHowDowN Proxy nestes tipos de dispositivos, e outros tipos de dispositivos provavelmente também estão vulneráveis. 

  • Dispositivos CCTV, NVR e DVR (vigilância por vídeo) 
  • Equipamento de antena via satélite 
  • Dispositivos de rede (por exemplo, roteadores, pontos de acesso, WiMax, cabo e modems ADSL, etc.) 
  • Dispositivos NAS (Network Attached Storage) conectados à Internet

Dispositivos conectados vulneráveis estão sendo usados para: 

  1. Ataques de montagem contra qualquer tipo de alvo da Internet e contra qualquer tipo de serviço voltado à Internet, como HTTP, SMTP e Verificação de rede 
  2. Ataques de montagem contra redes internas que hospedam esses dispositivos conectados

Depois que usuários mal-intencionados acessam o console de administração da Web desses dispositivos, eles podem comprometer os dados do dispositivo e, em alguns casos, assumir o controle da máquina.

Nesse caso, túneis SSH não autorizados foram criados e usados, apesar do fato de que os dispositivos de IoT foram supostamente protegidos e não permitem que o usuário padrão de interface da Web execute SSH no dispositivo e execute comandos. Por isso, nos sentimos compelidos a reiterar o aviso.

Como se proteger

Usuários finais: 

  1. Sempre altere as credenciais padrão de fábrica de qualquer dispositivo conectado à Internet 
  2. A menos que seja necessário para a operação normal, desative completamente o serviço SSH em qualquer dispositivo conectado à Internet. Se o SSH for necessário, coloque "AllowTcpForwarding No" em sshd_config. 
  3. Considere estabelecer regras de firewall de entrada que impeçam o acesso SSH a seus dispositivos de IOT de fora de um espaço IP estritamente confiável, como a sua própria rede interna. 
  4. Considere estabelecer regras de firewall de saída para dispositivos de IOT no limite de sua rede, impedindo que os túneis estabelecidos resultem em conexões de saída bem-sucedidas.

Fornecedores de dispositivos: 

  1. Evitar enviar dispositivos conectados à Internet com contas não documentadas 
  2. Desativar o SSH nos dispositivos, a menos que seja absolutamente necessário para operações normais 
  3. Forçar os usuários a alterar as credenciais da conta padrão de fábrica após a instalação inicial 
  4. Configurar o SSH para proibir o Encaminhamento de TCP 
  5. Fornecer um processo seguro para que os usuários finais atualizem a configuração sshd para que possam atenuar vulnerabilidades futuras sem ter que esperar por uma correção de firmware.

Detalhes técnicos

Recentemente, a equipe de pesquisa de ameaças da Akamai, outros vários fornecedores de segurança e equipes de pesquisa relataram uma tendência em que os dispositivos de IoT estão sendo explorados para realizar ataques contra terceiros. Esses dispositivos foram usados para realizar campanhas de preenchimento de credenciais baseadas em HTTP em grande escala contra os clientes.

Gostaríamos de enfatizar que este não é um novo tipo de vulnerabilidade ou técnica de ataque, mas sim uma fraqueza em muitas configurações padrão de dispositivos de IoT. Na verdade, vários artigos foram lançados anteriormente, todos com tópicos semelhantes. Por exemplo:

  • Uma publicação no blog de Brian Krebs ("IoT Reality: Smart Devices, Dumb Defaults") 
  • Um artigo de Jeff Huckaby, que descreve como os hackers estão usando túneis SSH para enviar spam 
  • CVE-2004-1653, publicado contra o OpenSSH por permitir o encaminhamento TCP por padrão e o risco que isso causa para contas de serviço projetadas para não permitir o acesso normal ao shell 
  • Jordan Sissel escreveu um artigo discutindo os perigos do uso de /bin/false 
  • Joey Hess discute a insegurança envolvida na configuração padrão de encaminhamento de TCP SSH em seu blog

Depois de analisar grandes conjuntos de dados da plataforma Cloud Security Intelligence da Akamai, descobrimos vários recursos comuns, o que nos levou a acreditar que os dispositivos de IoT estavam sendo usados como proxies para rotear o tráfego mal-intencionado contra websites de vítimas.

Para provar nossa hipótese, adquirimos e instalamos dispositivos idênticos que foram usados nos ataques, em um laboratório de pesquisa de ameaças conectado, e decidimos trabalhar para descobrir a causa raiz e as técnicas usadas pelos invasores, para descobrir como podemos nos proteger melhor, a nós mesmos, nossos clientes e todos os usuários de dispositivos de IoT.