Notifiche di minacce Akamai

SSHowDowN Sfruttamento dei dispositivi IoT per il lancio di campagne di attacco su vasta scala

Di Ezra Caltum e Ory Segal, Akamai Threat Research
Data di pubblicazione: 10.11.16

Analisi riassuntiva

Quante volte gli utenti finali pensano alle impostazioni predefinite dei propri dispositivi connessi a Internet? Forse dovremmo farlo tutti. Il team Threat Research di Akamai ha di recente registrato un caso in cui milioni di dispositivi IoT connessi a Internet venivano utilizzati come origine per le campagne di compilazione delle credenziali basate sul web. Quando il team ha approfondito un po' di più, ha scoperto che questi dispositivi IoT venivano utilizzati come proxy per instradare traffico dannoso a causa di alcune criticità insite nella configurazione dei sistemi operativi.

Nonostante il fenomeno fosse già stato segnalato in precedenza, la vulnerabilità è riemersa con l'aumento dei dispositivi connessi. Il team sta lavorando con i principali fornitori di dispositivi a un potenziale progetto di mitigazione. Vorremmo sottolineare che non si tratta di un nuovo tipo di vulnerabilità o di tecnica di attacco, bensì di una criticità tipica di molte configurazioni predefinite dei dispositivi connessi a Internet, attivamente sfruttata nelle campagne di attacco su vasta scala ai danni dei clienti Akamai.

Abbiamo osservato che gli attacchi correlati al proxy SSHowDowN provenienti dai seguenti tipi di dispositivi e da altri tipi di dispositivi sono altrettanto vulnerabili. 

  • Dispositivi CCTV, NVR, DVR (video sorveglianza) 
  • Apparecchiature di antenne satellitari 
  • Dispositivi di rete (ad esempio, router, hotspot, WiMax, modem via cavo e ADSL e così via) 
  • Dispositivi NAS (Network Attached Storage) connessi a Internet

I dispositivi vulnerabili connessi vengono utilizzati per i seguenti scopi: 

  1. Lanciare attacchi contro qualsiasi tipo di obiettivo Internet e contro qualsiasi tipo di servizio presente su Internet, ad esempio scansione di rete SMTP e HTTP 
  2. Lanciare attacchi contro reti interne che ospitano questi dispositivi connessi

Una volta che gli utenti malintenzionati hanno avuto accesso alla console di amministrazione web di questi dispositivi, sono in grado di compromettere i dati del dispositivo e in alcuni casi anche di assumere il controllo completo del dispositivo.

In questo caso, sono stati creati e utilizzati i tunnel SSH non autorizzati, nonostante i dispositivi IoT siano stati apparentemente potenziati e non consentano all'utente dell'interfaccia web predefinita l'accesso SSH nel dispositivo e l'esecuzione di comandi. Di conseguenza, ci sentiamo in dovere di reiterare l'avvertimento.

Come proteggervi

Utenti finali: 

  1. Modificare sempre le credenziali predefinite di ciascun dispositivo connesso a Internet 
  2. A meno che non sia richiesto per il normale funzionamento, disattivare completamente il servizio SSH in qualsiasi dispositivo connesso a Internet. Se è richiesto il servizio SSH, inserire "AllowTcpForwarding No" in sshd_config. 
  3. Valutare l'ipotesi di definire regole firewall in entrata per impedire l'accesso SSH ai dispositivi IOT dall'esterno di uno spazio IP attendibile e limitato, ad esempio la rete interna. 
  4. Valutare l'ipotesi di definire regole firewall in uscita per i dispositivi IOT al confine della rete, impedendo che i tunnel stabiliti generino connessioni in uscita.

Fornitori di dispositivi: 

  1. Evitare di spedire dispositivi connessi a Internet con account non documentati 
  2. Disabilitare il servizio SSH nei dispositivi a meno che non sia assolutamente richiesto per le operazioni standard 
  3. Obbligare gli utenti a modificare le credenziali predefinite dell'account dopo l'installazione iniziale 
  4. Configurare il servizio SSH per impedire il TCP Forwarding 
  5. Fornire una procedura sicura per consentire agli utenti finali di aggiornare la configurazione sshd in modo che possano mitigare vulnerabilità future senza dover attendere una patch di firmware.

Dettagli tecnici

Di recente, il team Threat Research di Akamai e altri fornitori e team di ricerca che si occupano di sicurezza hanno evidenziato una tendenza in cui i dispositivi IoT vengono sfruttati per lanciare attacchi ai danni di vittime di terze parti. Tali dispositivi venivano sfruttati per condurre campagne di compilazione delle credenziali basate su HTTP su vasta scala ai danni dei clienti.

Vorremmo sottolineare che non si tratta di un nuovo tipo di vulnerabilità o di tecnica di attacco, bensì di una criticità tipica di molte configurazioni predefinite dei dispositivi IoT. In effetti sono stati rilasciati molti articoli precedentemente e tutti riguardavano argomenti simili. Ad esempio:

  • Un post del blog di Brian Krebs ("IoT Reality: Smart Devices, Dumb Defaults") (Realtà IoT: dispositivi intelligenti, configurazioni inefficienti) 
  • Un articolo di Jeff Huckaby, che descrive il modo in cui gli hacker utilizzano i tunnel SSH per inviare spam 
  • CVE-2004-1653, pubblicato contro OpenSSH per consentire il TCP forwarding per impostazione predefinita, e il rischio che causa per gli account di servizio progettati per non consentire il normale accesso alla shell 
  • Jordan Sissel ha scritto un articolo che tratta i pericoli legati all'utilizzo di /bin/false 
  • Nel suo blog, Joey Hess parla dell'insicurezza legata alla configurazione predefinita del TCP forwarding SSH

Dopo aver analizzato ampi set di dati della piattaforma Cloud Security Intelligence di Akamai, abbiamo scoperto diverse funzionalità comuni che ci hanno portato a credere che i dispositivi IoT venivano utilizzati come proxy per instradare traffico dannoso ai danni dei siti delle vittime.

Per dimostrare la nostra ipotesi, abbiamo acquisito e installato dispositivi identici utilizzati per gli attacchi in un laboratorio di ricerca delle minacce connesso e abbiamo deciso di lavorare per scoprire la causa e le tecniche utilizzate dagli autori degli attacchi, per scoprire come ottimizzare la protezione di noi stessi, dei nostri clienti e di tutti gli utenti dei dispositivi IoT.