Akamai威脅研究團(tuán)隊(duì)發(fā)現(xiàn)針對(duì)OpenSSH漏洞的新一輪濫用行為

2016年10月26日14:19 來(lái)源：移動(dòng)通信網(wǎng)T|T

【移動(dòng)通信網(wǎng)】全球內(nèi)容交付、應(yīng)用優(yōu)化及云安全服務(wù)領(lǐng)域首屈一指的供應(yīng)商阿卡邁技術(shù)公司（AkamaiTechnologies,Inc.，以下簡(jiǎn)稱：Akamai）（NASDAQ：AKAM）的威脅研究團(tuán)隊(duì)于今日發(fā)布了一份新的研究報(bào)告。Akamai研究員OrySegal和EzraCaltum發(fā)現(xiàn)，攻擊者最近利用一個(gè)名為“SSHowDowNProxy”的OpenSSH漏洞，發(fā)起了一連串的攻擊，而這個(gè)漏洞已經(jīng)有12年的歷史——該漏洞允許通過(guò)物聯(lián)網(wǎng)設(shè)備遠(yuǎn)程生成攻擊流量。

如需獲取詳細(xì)介紹攻擊的完整報(bào)告，請(qǐng)從此處下載：

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/sshowdown-exploitation-of-iot-devices-for-launching-mass-scale-attack-campaigns.pdf。

概覽

請(qǐng)注意，本研究及其的后續(xù)的咨詢行為將不會(huì)介紹這一漏洞的新類型或攻擊技術(shù)，而是會(huì)說(shuō)明：互聯(lián)網(wǎng)接入設(shè)備的許多默認(rèn)配置中長(zhǎng)期存在薄弱環(huán)節(jié)。這些設(shè)備容易易收到大規(guī)模攻擊活動(dòng)的利用。

威脅研究團(tuán)隊(duì)發(fā)現(xiàn)SSHowDowNProxy瞄準(zhǔn)以下類型的設(shè)備進(jìn)行攻擊：

"CCTV、NVR、DVR設(shè)備（視頻監(jiān)控）

"衛(wèi)星天線設(shè)備

"聯(lián)網(wǎng)設(shè)備（如路由器、熱點(diǎn)、WiMax、電纜和ADSL調(diào)制解調(diào)器等）

"連接到互聯(lián)網(wǎng)的NAS設(shè)備（網(wǎng)絡(luò)附加存儲(chǔ)）

"易受攻擊的其他設(shè)備等

受攻擊的設(shè)備被用于：

"針對(duì)大量互聯(lián)網(wǎng)目標(biāo)和面向互聯(lián)網(wǎng)的服務(wù)（如HTTP、SMTP和網(wǎng)絡(luò)掃描）發(fā)起攻擊

"針對(duì)托管這些連接設(shè)備的內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊

一旦惡意用戶訪問(wèn)Web管理控制臺(tái)，他們便能夠危害設(shè)備數(shù)據(jù)，在某些情況下甚至可以完全接管機(jī)器。

Akamai威脅研究高級(jí)總監(jiān)OrySegal解釋稱：“當(dāng)出現(xiàn)DDoS和其他類型的Web攻擊時(shí)，事情會(huì)變得有趣起來(lái)；我們可以將其稱之為‘無(wú)法修復(fù)的物聯(lián)網(wǎng)’。出廠的新設(shè)備不僅有這種漏洞，而且沒(méi)有任何有效的修復(fù)方法。多年來(lái)，我們一直聽(tīng)到的是：理論上，物聯(lián)網(wǎng)設(shè)備可能會(huì)受到攻擊。但不幸的是，理論已經(jīng)成為現(xiàn)實(shí)。”

防御

上述漏洞的抵御方式包括：

"如果設(shè)備提供訪問(wèn)及更改SSH密碼或密匙的權(quán)限，請(qǐng)更改供應(yīng)商的默認(rèn)密碼或密匙。

"如果設(shè)備提供文件系統(tǒng)的直接訪問(wèn)：

娼�“AllowTcpForwardingNo”添加到全局sshd_config文件。

娼�“no-port-forwarding”和“no-X11-forwarding”添加到所有用戶的~/ssh/authorized_keys文件。

"如果上面的選項(xiàng)都不可用，或者如果正常運(yùn)行不需要SSH訪問(wèn)，則可通過(guò)設(shè)備的管理控制臺(tái)完全禁用SSH。

如果設(shè)備位于防火墻后面，請(qǐng)考慮執(zhí)行以下一項(xiàng)或多項(xiàng)操作：

"從所有已經(jīng)部署的物聯(lián)網(wǎng)設(shè)備22端口的網(wǎng)絡(luò)外部禁用入站連接

"從物聯(lián)網(wǎng)設(shè)備禁用出站連接（運(yùn)行所需的最小端口設(shè)置和IP地址除外）。

Akamai持續(xù)監(jiān)控和分析與此持續(xù)物聯(lián)網(wǎng)威脅相關(guān)的數(shù)據(jù)。若需了解更多信息，請(qǐng)?jiān)谝韵碌刂访赓M(fèi)下載研究白皮書(shū)：

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/sshowdown-exploitation-of-iot-devices-for-launching-mass-scale-attack-campaigns.pdf