Bedrohungsratgeber von Akamai

SSHowDowN – Exploit von internetfähigen Geräten zur Durchführung groß angelegter Angriffskampagnen

Ezra Caltum & Ory Segal, Akamai Threat Research
Veröffentlichungsdatum: 11.10.16

Zusammenfassung

Wie oft denken wir als Endnutzer über die Standardeinstellungen unserer IoT-Geräte nach? Vermutlich nicht oft genug. Das Threat Research Team von Akamai berichtete jüngst darüber, wie IoT-Geräte millionenfach für webbasierte Credential-Stuffing-Angriffe verwendet wurden. Die detaillierte Analyse ergab, dass die Geräte als Proxies verwendet wurden, um bösartigen Traffic umzuleiten. Möglich wurde dies durch Schwachstellen in der Betriebssystemkonfiguration der IoT-Geräte.

Ähnliche Vorfälle wurden schon früher bekannt, doch die Bedrohung erscheint vor dem Hintergrund der erheblich gestiegenen Zahl von mit dem Internet verbundenen Geräten heute in neuem Licht. Gemeinsam mit den wichtigsten Anbietern solcher Geräte arbeitet unser Team an einer Lösung, um die Gefahr einzudämmen. Wir möchten an dieser Stelle betonen, dass es sich hierbei nicht um eine neue Sicherheitslücke oder Angriffstechnik handelt, sondern um eine Schwachstelle in vielen Standardkonfigurationen von IoT-Geräten, die aktiv in zahlreichen groß angelegten Angriffskampagnen gegen Kunden von Akamai ausgenutzt wird.

WSSHowDowN-Proxy-Angriffe konnten wir von den folgenden Gerätetypen feststellen (und auch andere Gerätetypen sind mit hoher Wahrscheinlichkeit ähnlich anfällig): 

  • CCTV-, NVR-, DVR-Geräte (Videoüberwachung) 
  • Satellitenantennen 
  • Netzwerkgeräte (z. B. Router, Hotspots, WiMax, Kabel- und ADSL-Modems usw.) 
  • NAS-Geräte (Network Attached Storage) mit Internetzugang

Die betroffenen internetfähigen Geräte werden für Folgendes verwendet: 

  1. Vorbereiten von Angriffen auf beliebige Internetziele und internetgebundene Dienste, wie z. B. HTTP, SMTP und Netzwerkscans 
  2. Organisieren von Attacken auf interne Netzwerke, in denen die entsprechenden vernetzten Geräte gehostet werden

Nach dem Zugriff auf die Online-Verwaltungskonsole können Cyberkriminelle die Gerätedaten kompromittieren und in einigen Fällen das Gerät sogar vollständig übernehmen.

In solchen Fällen werden unautorisierte SSH-Tunnels geschaffen und genutzt – obgleich die IoT-Geräte eigentlich gegen ein solche Art des Zugriffs und die Ausführung von Secure-Shell-Befehlen durch Nutzer der Webschnittstelle ohne besondere Admin-Privilegien gesichert sein sollten. Aus diesem Grund scheint es angemessen, eine erneute Warnung auszusprechen.

So schützen Sie sich

Endnutzer: 

  1. Ändern Sie immer die werkseitigen Anmeldedaten von mit dem Internet verbundenen Geräten. 
  2. Wenn Sie den SSH-Dienst nicht für den regulären Betrieb eines Geräts benötigen, deaktivieren Sie ihn. Ist SSH erforderlich, geben Sie in die sshd_config „AllowTcpForwarding No“ ein. 
  3. Mit Firewall-Regeln für den eingehenden Traffic können Sie den SSH-Zugriff auf Ihre IoT-Geräte auf einen vertrauenswürdigen IP-Bereich, z. B. Ihr internes Netzwerk, beschränken. 
  4. Mit Firewall-Regeln für den ausgehenden Traffic können Sie verhindern, dass IoT-Geräte an der Netzwerkperipherie erfolgreich Daten über generierte Tunnel nach außen übertragen.

Für Geräteanbieter sollte gelten: 

  1. Kein Versand von internetfähigen Geräten mit undokumentierten Konten 
  2. Deaktivierung von SSH, wenn nicht für den regulären Betrieb eines Geräts absolut erforderlich 
  3. Obligatorische Änderung der werkseitigen Kontoanmeldeinformationen nach der Erstinstallation durch den Nutzer 
  4. Unterbindung von TCP-Weiterleitung über die SSH-Konfiguration 
  5. Bereitstellung eines sicheren Verfahrens für Endnutzer, über den sie ein Update der SSHD-Konfiguration vornehmen können – so können diese zukünftige Schwachstellen beheben, ohne auf ein Firmware-Patch zu warten.

Technische Details:

Vor Kurzem berichteten das Threat Research Team von Akamai und weitere große Sicherheitsanbieter und Rechercheteams über einen neuen Trend: IoT-Geräte werden gekapert und in großem Stil für Attacken gegen Dritte genutzt. So wurden Millionen internetfähiger Geräte für massive HTTP-basierte Credential-Stuffing-Angriffe gegen Kunden eingesetzt.

Wir möchten an dieser Stelle betonen, dass es sich hierbei nicht um eine neue Sicherheitslücke oder Angriffstechnik handelt, sondern um eine Schwachstelle in vielen IoT-Geräten. Zu dem Thema wurden schon zuvor einige Artikel in der Fachliteratur verfasst. Zum Beispiel:

  • Ein Blog-Post von Brian Krebs: „IoT Reality: Smart Devices, Dumb Defaults“ (IoT-Realität: Intelligente Geräte, dumme Einstellungen) 
  • Ein Artikel von Jeff Huckaby, in dem er beschreibt, wie Hacker SSH-Tunnel zum Verschicken von Spam verwenden 
  • Im Eintrag CVE-2004-1653 der Sicherheitsdatenbank der US-Behörden, „National Vulnerability Database“, wird darauf hingewiesen, dass OpenSSH standardmäßig TCP-Weiterleitung zulässt, was ein großes Risiko für Servicekonten darstellt, die keinen normalen Zugriff über die Shell zulassen sollen. 
  • Ein Artikel von Jordan Sissel widmet sich der Gefahr von /bin/false. 
  • Joey Hess geht in seinem Blog darauf ein, welche Sicherheitsgefährdung die standardmäßigen SSH-Einstellungen für die TCP-Weiterleitung darstellen.

Nach der Analyse großer Datenvolumen von der Akamai Cloud Security Intelligence-Plattform stellten wir zahlreiche gemeinsame Merkmale fest, die die Vermutung nahelegten, dass die IoT-Geräte als Proxies verwendet wurden, um bösartigen Traffic auf die Websites der Opfer umzuleiten.

Zum Beweis unserer Hypothese kauften und installierten wir in unserem Testlabor Geräte, wie sie bei den Angriffen verwendet wurden. Wir nahmen uns vor, der Ursache der Attacken auf den Grund zu gehen und die von den Angreifern verwendeten Techniken nachzubilden, um uns, unseren Kunden und allen Nutzern von IoT-Geräten einen effektiveren Schutz bereitstellen zu können.