Akamai Technologies reveló que los hackers están explotando un error de 12 años de edad en OpenSSH para introducirse en millones de dispositivos IO con ataques SSHowDowN proxy.
Segun el informe publicado por Akamai Technologies: "La vulnerabilidad ha resurgido con el aumento de los dispositivos conectados. Nuestro equipo está trabajando actualmente con los proveedores de dispositivos de mayor prevalencia sobre una propuesta de plan de mitigación. Nos gustaría hacer hincapié en que esto no es un nuevo tipo de vulnerabilidad o técnica de ataque, sino más bien una debilidad en muchas configuraciones predeterminadas de dispositivos conectados a Internet, que está siendo activamente explotada en campañas de ataque escala masiva contra los clientes de Akamai ".
El nuevo ataque fue apodado por los expertos Proxy SSHowDowN porque los atacantes son capaces de utilizar los dispositivos IO comprometidos como sustitutos de tráfico malicioso. El ataque SSHowDowN Proxy explota la falla CVE-2004-1653 para activar el reenvío de puertos TCP y rebota cuando un proxy está en uso.
Akamai confirmó que al menos 11 de sus clientes en varias industrias, incluyendo servicios financieros, hotelería, comercio, y los juegos se han golpeado con ataques de SSHowDowN proxy.
"Dadas las credenciales de una cuenta de usuario, a menudo sin cambios o inmutables, en las implementaciones de la IO, un atacante puede usar el -D o banderas -L para ssh con el fin de entrar al equipo de la víctima en un proxy. La bandera puede ser -N para evitar el lanzamiento de una de las cáscaras de movilidad reducida ".
Proxy SSHowDowN ataca una amplia gama de dispositivos conectados, incluyendo:
- CCTV , NVR, dispositivos de DVR (video vigilancia).
- Satelites y equipos de antena.
- Dispositivos de red (por ejemplo, routers módems, puntos de acceso, WiMax, cable y ADSL, etc.).
- Dispositivos NAS (Network Attached Storage) conectados a Internet.
Akamai estima que más de 2 millones de dispositivos IO y sistemas de redes han sido ya comprometido por ataques de tipo SSHowDowN.
Por desgracia, la gran mayoría de los dispositivos que tiene lugar una seguridad de credenciales laxa, es bastante común encontrar objetos inteligentes configuradas con contraseñas por defecto proveedor o claves. Otro error sorprendente es que algunos vendedores todavía implementan por defecto y las credenciales no modificables.
El atacante utiliza la contraseña para acceder de forma remota los dispositivos IO y tomar el control total sobre el sistema.
Segun explicó Eric Kobrin, director del equipo de investigación de amenazas de Akamai: "Los nuevos dispositivos están siendo enviados desde la fábrica no sólo con esta vulnerabilidad expuesta, sino también sin ningún medio eficaz para fijarlo. Hemos estado escuchando durante años que era teóricamente posible que los dispositivos de la IO para atacar. Que, por desgracia, ahora se ha convertido en la realidad. "
SOLUCIONES PARA EVITAR EL ATAQUE PROXY SHOWDOWN
- La primera sugerencia para mitigar la amenaza es cambiar las credenciales por defecto de fábrica del dispositivo y desactivar la IO, si es posible, los servicios de SSH que exponen.
- Otra de las medidas de defensa podría ser la adopción de servidor de seguridad que utiliza reglas específicas para gestionar SSH accede a los dispositivos.
- Evitar el envío de dichos productos con las cuentas sin papeles.
- Obligar a sus clientes a cambiar las credenciales por defecto de fábrica después de la instalación del dispositivo.
- Restringir el reenvío por TCP.
- Permitir a los usuarios actualizar la configuración de SSH para mitigar ese tipo de errores.
