Akamai 威胁报告

SSHowDowN 利用物联网设备发起大规模攻击活动

作者:Ezra Caltum 和 Ory Segal(Akamai 威胁研究团队成员)
发表日期:2016 年 10 月 11 日

执行摘要

最终用户在什么情况下应该考虑其物联网设备的出厂默认设置?或许所有最终用户都应该这样做。Akamai 威胁研究团队最近报告了一次基于 Web 的凭据滥用攻击,该次攻击使用了数百万台物联网设备作为攻击源头。经过更深入研究,我们证实,由于这些设备的操作系统存在某些默认配置漏洞,使攻击者有机可乘,将这些设备用作代理来路由恶意流量。

以前曾出现过关于这种漏洞的报道,而随着联网设备的增多,这种漏洞大有卷土重来之势。我们的团队目前正与最常用设备的供应商合作,一起实行拟议的缓解计划。我们想要强调的一点是,这并非新型的漏洞或攻击技术,而是物联网设备的很多默认配置中存在的一种漏洞。针对 Akamai 客户的很多大规模攻击活动都利用了这种漏洞。

我们发现,攻击者通常利用以下几种设备来发起 SSHowDowN 代理攻击,但其他类型的设备也可能被利用。 

  • 闭路电视 (CCTV)、网络视频录像机 (NVR)、数字视频录像机 (DVR) 设备(视频监控) 
  • 卫星天线设备 
  • 网络设备(例如,路由器、热点、WiMAX、电缆、ADSL 调制解调器等) 
  • 联网 NAS(网络附加存储)设备

有漏洞的联网设备被攻击者用于: 

  1. 攻击任何类型的互联网目标以及面向互联网的任何类型服务(例如,HTTP、SMTP 和网络扫描) 
  2. 攻击托管这些联网设备的内部网络

一旦恶意用户成功入侵这些设备的 Web 管理控制台,他们就能窃取设备上的数据,有时甚至能控制整台机器。

在这种攻击中,攻击者会创建并使用未经授权的 SSH 隧道,尽管物联网设备本应该有强大的防护措施,不会允许 SSH 的默认 Web 界面用户进入设备并执行命令。因此,我们觉得有必要重申针对这种威胁的防护措施。

如何自我保护

最终用户: 

  1. 务必更改任何物联网设备的出厂默认凭据。 
  2. 完全禁用任何物联网设备上的 SSH 服务,除非需要这种服务来实现正常运行。如果需要 SSH,请将“AllowTcpForwarding No”添加到 sshd_config 中。 
  3. 不妨考虑建立入站防火墙规则,以防止受信任的 IP 空间(范围较窄,例如内部网络)之外的 SSH 访问您的物联网设备。 
  4. 不妨考虑在网络边界建立物联网设备的出站防火墙规则,以防止建立的隧道导致成功的出站连接。

设备供应商: 

  1. 避免用没有记录的帐户运输物联网设备 
  2. 禁用设备上的 SSH,除非对于正常运行来说是绝对必要的 
  3. 要求用户在初始安装后更改出厂默认帐户凭据 
  4. 将 SSH 配置为禁止 TCP 转发 
  5. 向最终用户提供安全的进程来更新 sshd 配置,使最终用户可以缓解未来可能出现的漏洞,而无需安装固件补丁。

技术细节

最近,Akamai 威胁研究团队以及其他多个安全供应商和研究团队不约而同地报告了这样一种趋势:越来越多物联网设备被攻击者用于对第三方发起攻击。攻击者利用物联网设备对客户发起基于 HTTP 的大规模凭据滥用攻击。

我们想要强调的一点是,这并非新型的漏洞或攻击技术,而是物联网设备的很多默认配置中存在的一种漏洞。事实上,之前曾有几篇文章讨论过类似的话题。例如:

  • Brian Krebs 写的题为“IoT Reality: Smart Devices, Dumb Defaults”(物联网的现实:设备很智能,但默认设置存在很多隐患)的博客帖子 
  • Jeff Huckaby 写的一篇讲述黑客如何利用 SSH 隧道发送垃圾邮件的文章 
  • CVE-2004-1653:披露 OpenSSH 默认情况下允许 TCP 转发,以及这种漏洞对于不允许正常 Shell 访问的服务帐户造成的风险 
  • Jordan Sissel 写的一篇文章中讨论了使用 /bin/false 的危险 
  • Joey Hess 在其博客中讨论了默认 SSH TCP 转发配置存在的安全隐患

通过分析来自 Akamai 云安全智能平台的大量数据集,我们发现了这种攻击的几个共同特点,由此我们认为,攻击者是将物联网设备用作代理,将恶意流量路由至受害者网站。

为了证实我们的假设,我们购买了与攻击所用设备一样的设备,并将这些设备安装在互联的威胁研究实验室里。我们决心找出引致攻击的根本原因以及攻击者使用的技术,以便确定我们如何能更好地保护自己、客户及所有物联网设备用户。