Aviso sobre amenaza de Akamai

SSHowDowN: explotación de los dispositivos de IoT para lanzar campañas de ataque masivas

Autores: Ezra Caltum y Ory Segal, equipo de investigación de amenazas de Akamai
Fecha de publicación: 10.11.16

Resumen ejecutivo

¿Cuántas veces se paran a pensar los usuarios finales en la configuración predeterminada de fábrica de sus dispositivos conectados a Internet? Convendría que todos lo hiciésemos. No hace mucho, el equipo de investigación de amenazas de Akamai informó de que se estaban empleando millones de dispositivos conectados a Internet (Internet de las cosas) como origen de campañas de relleno de credenciales basadas en web. En cuanto escarbamos un poco, hallamos pruebas de que esos dispositivos servían como intermediarios para dirigir el tráfico malicioso debido a ciertas debilidades en la configuración inherentes a sus sistemas operativos.

Aunque no es la primera vez que se denuncia este hecho, esta vulnerabilidad ha cobrado un nuevo impulso con el incremento de los dispositivos conectados. En la actualidad, nuestro equipo colabora con los proveedores de dispositivos dominantes en un proyecto de plan de mitigación. Conviene enfatizar que no se trata de ningún tipo nuevo de vulnerabilidad ni ninguna técnica de ataque novedosa, sino de una debilidad presente en muchas configuraciones predeterminadas de dispositivos conectados a Internet, la cual se está explotando de forma activa en campañas de ataque masivas contra los clientes de Akamai.

Hemos detectado ataques SSHowDowN Proxy procedentes de los siguientes tipos de dispositivos, si bien existen otros tipos de dispositivos igual de vulnerables: 

  • Dispositivos de videovigilancia: circuitos cerrados de televisión (CCTV), grabadoras de vídeo en red (NVR) y grabadoras de vídeo digital (DVR) 
  • Equipos de antenas de satélites 
  • Dispositivos de red (por ejemplo, routers, puntos de acceso, WiMax, módems por cable y ADSL, etc.) 
  • Dispositivos NAS (almacenamiento conectado a la red) conectados a Internet

Los dispositivos conectados vulnerables se emplean para lo siguiente: 

  1. Organizar ataques contra cualquier clase de objetivo de Internet y contra cualquier clase de servicio orientado a Internet, como HTTP, SMTP y escaneos de red. 
  2. Diseñar ataques contra las redes internas que alojan estos dispositivos conectados.

Una vez que los usuarios maliciosos acceden a la consola de administración web de dichos dispositivos, pueden comprometer sus datos y, a veces, incluso tomar el control total del aparato.

Si es el caso, se crean y utilizan túneles de SSH no autorizados, pese a que, supuestamente, los dispositivos del Internet de las cosas están protegidos y, por lo tanto, no permiten que el usuario predeterminado de la interfaz web acceda por SSH al dispositivo a fin de ejecutar comandos. Por este motivo, nos sentimos en la obligación de reiterar la advertencia.

Procedimientos para protegerse

Usuarios finales: 

  1. Modifique siempre las credenciales predeterminadas de fábrica de todos los dispositivos conectados a Internet. 
  2. A menos que sea imprescindible para el funcionamiento normal, desactive por completo el servicio SSH en todos los dispositivos conectados a Internet. Si es obligatorio utilizar SSH, configure sshd_config en "AllowTcpForwarding No". 
  3. Plantéese configurar reglas de firewall entrantes que impidan el acceso por SSH a los dispositivos del Internet de las cosas desde cualquier ubicación ajena a una reducida serie de IP de confianza, por ejemplo, su red interna. 
  4. Plantéese configurar reglas de firewall salientes para los dispositivos del Internet de las cosas que se hallen en los límites de su red a fin de impedir que se creen túneles y se establezcan conexiones salientes.

Proveedores de dispositivos: 

  1. Absténgase de enviar dispositivos conectados a Internet con cuentas que no estén documentadas. 
  2. Desactive el servicio SSH en los dispositivos a menos que sea absolutamente indispensable para el funcionamiento normal. 
  3. Obligue a los usuarios a modificar las credenciales de cuentas predeterminadas de fábrica tras la instalación inicial. 
  4. Configure SSH de modo que impida el reenvío por TCP. 
  5. Facilite a los usuarios finales un proceso seguro para actualizar la configuración de SSHD, de modo que puedan resolver futuras vulnerabilidades sin esperar a que se publique un parche de firmware.

Datos técnicos

En fechas recientes, tanto el equipo de investigación de amenazas de Akamai como otros equipos de investigación y proveedores de seguridad han puesto de relieve una tendencia que consiste en explotar los dispositivos del Internet de las cosas para organizar ataques contra víctimas ajenas. Esos dispositivos se utilizan con el fin de dirigir campañas masivas de relleno de credenciales basadas en HTTP contra los clientes.

Conviene enfatizar que no se trata de ningún tipo nuevo de vulnerabilidad ni ninguna técnica de ataque novedosa, sino de una debilidad presente en muchas configuraciones predeterminadas de dispositivos del Internet de las cosas. De hecho, se han publicado con anterioridad varios artículos referentes al tema. Por ejemplo:

  • Publicación del blog de Brian Krebs ("IoT Reality: Smart Devices, Dumb Defaults"). 
  • Artículo de Jeff Huckaby donde describe el uso de los túneles de SSH por parte de los hackers para enviar spam. 
  • CVE-2004-1653, entrada publicada con el fin de criticar que OpenSSH permita el reenvío por TCP de forma predeterminada y de advertir del riesgo que entraña para las cuentas de servicio que, por su propio diseño, impiden el acceso normal al shell. 
  • Artículo de Jordan Sissel sobre los peligros del uso de /bin/false. 
  • Blog de Joey Hess, donde explica la inseguridad inherente a la configuración predeterminada del reenvío por TCP del servicio SSH.

Tras analizar conjuntos de datos enormes de la plataforma Akamai Cloud Security Intelligence, hemos detectado varias características comunes que nos inducen a creer que se han estado utilizando dispositivos del Internet de las cosas para dirigir el tráfico malicioso hacia los sitios designados como víctimas.

Para demostrar esta teoría, adquirimos dispositivos idénticos a los empleados en los ataques y los instalamos en un laboratorio conectado para la investigación de amenazas con el firme empeño de descubrir la causa y las técnicas utilizadas por los atacantes, lo que nos permitiría averiguar métodos infalibles de protección para nosotros mismos, nuestros clientes y, en general, todos los usuarios de dispositivos del Internet de las cosas.