12年前的SSH漏洞還能用?物聯網設備的安全令人堪憂
?? ??
概述
根據國外媒體的最新報道,Akamai公司的安全研究專家在這周發現了一種新型的攻擊方式。根據安全專家的描述,攻擊者可以使用一個存在了十二年之久的SSH漏洞,并配合一些安全性較弱的證書來攻擊物聯網設備和智能家居設備。在獲取到這些聯網設備的控制權之后,攻擊者就可以將它們作為代理并竊取第三方Web應用的憑證了。
由此看來,對于網絡攻擊者而言,聯網設備的作用已經不僅僅局限于用來發動分布式拒絕服務攻擊(DDoS)了。
攻擊分析
這種被稱為“Credential Stuffing”(憑證填充)的攻擊方式在自動化程度上與暴力破解攻擊十分相似,因為這種攻擊同樣會不斷地去驗證被盜密碼的有效性。
Akamai公司表示,他們的客戶從今年的二月份就開始不斷地向他們報告異常的網絡活動了,而該公司的安全研究人員也意識到他們的客戶很可能遭到了網絡攻擊。該公司估計,目前至少有兩百萬的物聯網設備和網絡設備已經被攻擊了,而且攻擊者正在利用這些設備作為代理來進行“Credential-Stuffing”攻擊。據了解,攻擊者利用的是SSH配置中的一個漏洞,但是據說這個漏洞(CVE-2004-1653)早在2004年的時候就已經被修復了。
Akamai公司高級安全研究團隊的主管Ezra Caltum表示:“根據我們的發現,攻擊者曾嘗試通過暴力破解攻擊來登錄我們其中一名客戶的計算機系統。為了避免攻擊行為被追蹤到,他們通常需要使用不同的代理,否則將會出現同一個IP地址發送大量網絡請求的情況。這樣一來,他們的攻擊行為就會被標記為惡意行為。”為此,Caltum和Akamai公司威脅研究中心的高級主管Ory Segal在這周共同發布了一份安全公告,感興趣的同學可以閱讀一下。[報告傳送門]
Caltum說到:“我們發現,攻擊者目前仍然可以利用這個舊的漏洞來攻擊物聯網設備。攻擊成功之后,他們便會將這些設備當作代理來使用,而攻擊者的目的就是為了在目標主機中找出有效的憑證。”
雖然這個SSH漏洞早在2004年就已經被修復了,但很明顯的是,很多物聯網設備制造商仍然會在他們的產品中使用安全性較弱的SSH配置。這也就使得目前很多監控攝像頭、網絡視頻記錄設備、硬盤錄像機、衛星天線設備、聯網的存儲設備、寬帶調制解調器、以及路由器等聯網設備都將處于安全風險之中。
?? ??
在Akamai公司的取證調查過程中,安全研究人員對那些來自于網絡視頻記錄設備的可疑流量(HTTP/HTTPS)進行了分析和檢測。分析結果表明,目標設備上并不存在任何未經身份驗證的用戶,但是當研究人員檢測設備系統的進程ID時,他們發現所有的活動鏈接都使用了SSH守護進程(sshd),而且已經有人使用了設備的默認登錄憑證(admin:admin)來訪問過這些設備了。
管理員可以通過SSH來訪問設備嗎?
奇怪的是,管理員用戶是不允許通過SSH來與設備進行連接和通信的,如果管理員嘗試通過SSH來訪問設備的話,nologin命令將會強制斷開鏈接。但是,攻擊者可以通過SSH來實現一個SOCKS代理,而這樣就可以繞過nologin的限制了。
Caltum說到:“其中最有趣的地方在于,這是一個十二年前的漏洞了,而且關于這個漏洞的詳細信息幾乎可以在網絡中隨意獲取到。這并不是一個新型的安全漏洞,而現在已經是2016年了,但是這些物聯網設備卻仍然會受到這一漏洞的影響。”
從目前能夠獲取到的信息來看,攻擊者之所以要測試這些憑證的有效性,很有可能是為了要將這些憑證數據在其他地方轉手出售。Akamai公司警告稱,雖然就目前的情況來看,攻擊者只會對那些接入互聯網的服務器進行暴力破解攻擊。但需要注意的是,我們的內部網絡同樣也有可能受到這種攻擊的影響。
緩解方案
?? ??
為此,Akamai公司也給廣大用戶提供了一些攻擊緩解方案。該公司的安全研究人員表示,用戶可以立刻修改設備的默認憑證,如果有可能的話,最好也禁用SSH服務。除此之外, 用戶也可以在SSHd_config配置文件中添加配置項“AllowTCPForwarding=True”。當然了,用戶們也可以配置相應的防火墻規則,這樣就可以有效地阻止他人使用SSH來從受信的外部IP地址訪問物聯網設備了。
與此同時,各大設備制造商在生產物聯網設備時,不僅應該盡量避免為設備配置默認的登錄憑證,而且也不應該設置任何的隱藏賬號。除此之外,設備在出廠時應該默認禁用SSH,或者禁用設備的TCP轉發功能。
總結
隨著信息安全技術的不斷發展,物聯網設備也逐漸成為了攻擊者手中的一種攻擊利器。據了解,kerbsonsecurity.com以及其他的一些網站都曾經遭受過特殊的大規模分布式拒絕服務攻擊。與以前不同,發動這種特殊DDoS攻擊的設備均為物聯網設備。據此推測,由物聯網設備組成的大型僵尸網絡在今后將很有可能繼續發動更大規模的網絡攻擊。就目前的情況來看,現在大部分的物聯網設備中都存在很多安全問題,而攻擊者就可以利用這些安全漏洞來控制物聯網設備,并利用這些設備來向第三方Web服務發起攻擊。
Caltum表示:“就此看來,想要解決物聯網設備的安全問題并改變目前的安全現狀,幾乎比登天還難。這只是我的個人觀點,無論各位是否同意這一觀點,我只是想表達一下自己的擔憂和恐慌。”
實際上,這些物聯網設備中存在的安全問題遠遠不止這些。比如說,很多物聯網設備壓根都沒有配置可行的更新機制。一般來說,當廠家發現了相應的漏洞之后,我們可以通過更新設備來提升安全性。但是如果設備連可行的更新機制都沒有的話,那你要用戶如何是好?
Caltum說到:“首先,這些設備在出廠的時候就存在安全問題。其次,用戶也無法獲取到可用的固件更新。想必各位家里或多或少都會有一些聯網設備吧?你可以回憶一下,你上一次更新這些設備的固件是什么時候的事情了?”
我們可以肯定的是,科技正在不斷向前發展,將來肯定會有更多的設備接入互聯網,攻擊者肯定不會放過這樣的機會。所以各大物聯網設備制造商們,請長點兒心吧,是時候將物聯網設備的安全問題提上日程了!
