Akamai Threat Advisory

SSHowDowN Exploitation of IoT devices for Launching Mass-Scale Attack Campaigns (Alerte de sécurité d'Akamai concernant les attaques SSHowDowN : exploitation des terminaux IoT pour le lancement de campagnes d'attaques à grande échelle)

Par Ezra Caltum et Ory Segal de l'équipe Threat Research d'Akamai
Date de publication : 11.10.16

Résumé

Vous en connaissez beaucoup des utilisateurs qui pensent à modifier les paramètres par défaut de leurs terminaux connectés à Internet ? Probablement pas et pourtant nous devrions tous le faire. L'équipe Threat Research d'Akamai a récemment révélé que des millions d'appareils IoT servaient à organiser des attaques utilisant des informations de connexion trouvées sur le Web et menées selon la pratique du « credential stuffing ». Des recherches plus approfondies nous ont permis de constater qu'il était possible d'utiliser un appareil IoT comme proxy pour acheminer du trafic malveillant, et ce en raison de failles dans la configuration par défaut des systèmes d'exploitation.

S'il est vrai que ce type d'attaque ne date pas d'hier, les problèmes de vulnérabilité refont surface avec le nombre toujours croissant de terminaux connectés. Notre équipe s'est associée aux plus grands fournisseurs de terminaux pour concevoir un plan d'atténuation des risques. Nous voulons insister sur le fait qu'il ne s'agit pas là d'une menace ou d'une attaque d'un genre nouveau, mais bel et bien d'une faille dans la configuration par défaut des terminaux connectés à Internet que les hackers exploitent pour lancer des attaques à grande échelle contre les clients d'Akamai.

Si divers types de terminaux peuvent être la cible d'attaques SSHowDowN Proxy, les principaux appareils concernés sont avant tout les suivants : 

  • Caméras de vidéosurveillance, enregistreurs vidéo réseau, enregistreurs vidéo numériques ; 
  • Antennes satellites ; 
  • Terminaux réseau (routeurs, hotspots, modems WiMax, câble et ADSL, etc.) ; 
  • Terminaux NAS connectés à Internet (stockage en réseau).

Les appareils infectés sont utilisés pour mener des attaques contre : 

  1. toutes sortes de cibles Internet et tous types de services en ligne comme HTTP, SMTP et analyse réseau ; 
  2. les réseaux internes qui hébergent ces terminaux connectés.

Une fois qu'ils ont accès à la console d'administration Web de ces appareils, les assaillants piratent les données du terminal concerné et, dans certains cas, prennent le contrôle intégral de la machine.

Ils n'hésitent pas à mettre en place et à utiliser des tunnels SSH non autorisés, même dans le cas de terminaux IoT dont la sécurité a été renforcée, et empêchent l'accès à ces tunnels aux utilisateurs par défaut de l'interface Web qui ne peuvent plus se connecter par SSH au terminal ni exécuter des commandes. Il faut donc redoubler de vigilance face à cette menace.

Comment se protéger

Vous êtes un utilisateur final : 

  1. Modifiez toujours les informations de connexion par défaut de votre terminal connecté à Internet. 
  2. À moins que vous n'en ayez besoin au quotidien, désactivez complètement le service SSH sur votre appareil. Si vous avez besoin du service SSH, ajoutez « AllowTcpForwarding No » à sshd_config. 
  3. Définissez des règles de pare-feu de trafic entrant empêchant la connexion SSH à vos appareils IoT depuis l'extérieur, sauf d'une seule plage IP restreinte et de confiance comme votre propre réseau interne. 
  4. Définissez des règles de pare-feu de trafic sortant pour les appareils IoT dans les limites de votre réseau, afin que les tunnels déjà en place ne puissent pas établir de connexion sortante.

Vous êtes un vendeur de terminaux : 

  1. Évitez de livrer des appareils connectés à Internet avec des comptes sans identité. 
  2. Désactivez le service SSH sur les appareils à moins que leur bon fonctionnement n'en dépende. 
  3. Contraignez les utilisateurs à modifier les informations de connexion de compte définies par défaut après l'installation initiale. 
  4. Configurez le service SSH de sorte d'empêcher toute redirection de trafic TCP. 
  5. Fournissez aux utilisateurs finaux un processus sécurisé de mise à jour de la configuration sshd afin qu'ils puissent, dans l'attente d'un correctif de micrologiciel, limiter les risques de vulnérabilité.

Détails techniques

Récemment, l'équipe Threat Research d'Akamai, des équipes de recherche et des fournisseurs de solutions de sécurité ont fait part d'un nouveau phénomène d'attaques orchestrées par le biais d'appareils IoT et visant les possesseurs de ces mêmes terminaux. Les assaillants ciblent ces appareils qu'ils utilisent pour lancer des attaques à grande échelle contre les clients grâce à la méthode du « credential stuffing » basée sur HTTP.

Cette technique n'est pas nouvelle mais il est important de savoir qu'elle exploite une faille des configurations par défaut des terminaux IoT. Plusieurs articles ont déjà été publiés à ce sujet. Par exemple :

  • Un article de blog rédigé par Brian Krebs intitulé « IoT Reality : Smart Devices, Dumb Defaults » (La dure réalité de l'IoT : des appareils intelligents mais paramétrés de façon trop simpliste) 
  • Un article de Jeff Huckaby qui décrit bien comment les hackers utilisent les tunnels SSH pour envoyer des spams. 
  • CVE-2004-1653, publié pour dénoncer le fait qu’OpenSSH autorise par défaut la redirection de trafic TCP et mettre en garde contre les risques pesant sur les comptes de service conçus pour ne pas autoriser l'accès shell normal. 
  • L'article de Jordan Sissel sur les risques liés à l'utilisation de /bin/false. 
  • Sur son blog, Joey Hess aborde la question de l'insécurité de la configuration par défaut de redirection de trafic TCP via SSH.

L'analyse d'un grand nombre d'ensembles de données de la plate-forme Cloud Security Intelligence d'Akamai nous a permis de constater des caractéristiques communes et de conclure qu'un appareil IoT peut être utilisé comme proxy pour acheminer du trafic malveillant contre des sites.

Pour démontrer cette théorie, nous avons fait l'acquisition et procédé à l'installation d'appareils identiques que nous avons utilisés pour orchestrer des attaques lancées dans un laboratoire de recherche sur les menaces connectés. Cela nous a permis d'enquêter sur les causes fondamentales et les techniques adoptées par les assaillants afin de savoir comment mieux nous protéger et mieux protéger nos clients ainsi que tous les utilisateurs d'appareils IoT.