开发者俱乐部

标题: 12年前的SSH漏洞还能用?物联网设备的安全令人堪忧 [打印本页]
作者: jack    时间: 2016-10-19 07:07
标题: 12年前的SSH漏洞还能用?物联网设备的安全令人堪忧


  概述
  根据国外媒体的最新报道,Akamai公司的安全研究专家在这周发现了一种新型的攻击方式。根据安全专家的描述,攻击者可以使用一个存在了十二年之久的SSH漏洞,并配合一些安全性较弱的证书来攻击物联网设备和智能家居设备。在获取到这些联网设备的控制权之后,攻击者就可以将它们作为代理并窃取第三方Web应用的凭证了。
  由此看来,对于网络攻击者而言,联网设备的作用已经不仅仅局限于用来发动分布式拒绝服务攻击(DDoS)了。
  攻击分析
  这种被称为"Credential  Stuffing"(凭证填充)的攻击方式在自动化程度上与暴力破解攻击十分相似,因为这种攻击同样会不断地去验证被盗密码的有效性。
  Akamai公司表示,他们的客户从今年的二月份就开始不断地向他们报告异常的网络活动了,而该公司的安全研究人员也意识到他们的客户很可能遭到了网络攻击。该公司估计,目前至少有两百万的物联网设备和网络设备已经被攻击了,而且攻击者正在利用这些设备作为代理来进行"Credential-Stuffing"攻击。据了解,攻击者利用的是SSH配置中的一个漏洞,但是据说这个漏洞(CVE-2004-1653)早在2004年的时候就已经被修复了。
  Akamai公司高级安全研究团队的主管Ezra  Caltum表示:"根据我们的发现,攻击者曾尝试通过暴力破解攻击来登录我们其中一名客户的计算机系统。为了避免攻击行为被追踪到,他们通常需要使用不同的代理,否则将会出现同一个IP地址发送大量网络请求的情况。这样一来,他们的攻击行为就会被标记为恶意行为。"为此,Caltum和Akamai公司威胁研究中心的高级主管Ory  Segal在这周共同发布了一份安全公告,感兴趣的同学可以阅读一下。[报告传送门]
  Caltum说到:"我们发现,攻击者目前仍然可以利用这个旧的漏洞来攻击物联网设备。攻击成功之后,他们便会将这些设备当作代理来使用,而攻击者的目的就是为了在目标主机中找出有效的凭证。"
  虽然这个SSH漏洞早在2004年就已经被修复了,但很明显的是,很多物联网设备制造商仍然会在他们的产品中使用安全性较弱的SSH配置。这也就使得目前很多监控摄像头、网络视频记录设备、硬盘录像机、卫星天线设备、联网的存储设备、宽带调制解调器、以及路由器等联网设备都将处于安全风险之中。

  在Akamai公司的取证调查过程中,安全研究人员对那些来自于网络视频记录设备的可疑流量(HTTP/HTTPS)进行了分析和检测。分析结果表明,目标设备上并不存在任何未经身份验证的用户,但是当研究人员检测设备系统的进程ID时,他们发现所有的活动链接都使用了SSH守护进程(sshd),而且已经有人使用了设备的默认登录凭证(admin:admin)来访问过这些设备了。
  管理员可以通过SSH来访问设备吗?
  奇怪的是,管理员用户是不允许通过SSH来与设备进行连接和通信的,如果管理员尝试通过SSH来访问设备的话,nologin命令将会强制断开链接。但是,攻击者可以通过SSH来实现一个SOCKS代理,而这样就可以绕过nologin的限制了。
  Caltum说到:"其中最有趣的地方在于,这是一个十二年前的漏洞了,而且关于这个漏洞的详细信息几乎可以在网络中随意获取到。这并不是一个新型的安全漏洞,而现在已经是2016年了,但是这些物联网设备却仍然会受到这一漏洞的影响。"
  从目前能够获取到的信息来看,攻击者之所以要测试这些凭证的有效性,很有可能是为了要将这些凭证数据在其他地方转手出售。Akamai公司警告称,虽然就目前的情况来看,攻击者只会对那些接入互联网的服务器进行暴力破解攻击。但需要注意的是,我们的内部网络同样也有可能受到这种攻击的影响。
  缓解方案

  为此,Akamai公司也给广大用户提供了一些攻击缓解方案。该公司的安全研究人员表示,用户可以立刻修改设备的默认凭证,如果有可能的话,最好也禁用SSH服务。除此之外,  用户也可以在SSHd_config配置文件中添加配置项"AllowTCPForwarding=True"。当然了,用户们也可以配置相应的防火墙规则,这样就可以有效地阻止他人使用SSH来从受信的外部IP地址访问物联网设备了。
  与此同时,各大设备制造商在生产物联网设备时,不仅应该尽量避免为设备配置默认的登录凭证,而且也不应该设置任何的隐藏账号。除此之外,设备在出厂时应该默认禁用SSH,或者禁用设备的TCP转发功能。
  总结
  随着信息安全技术的不断发展,物联网设备也逐渐成为了攻击者手中的一种攻击利器。据了解,kerbsonsecurity.com以及其他的一些网站都曾经遭受过特殊的大规模分布式拒绝服务攻击。与以前不同,发动这种特殊DDoS攻击的设备均为物联网设备。据此推测,由物联网设备组成的大型僵尸网络在今后将很有可能继续发动更大规模的网络攻击。就目前的情况来看,现在大部分的物联网设备中都存在很多安全问题,而攻击者就可以利用这些安全漏洞来控制物联网设备,并利用这些设备来向第三方Web服务发起攻击。

  Caltum表示:"就此看来,想要解决物联网设备的安全问题并改变目前的安全现状,几乎比登天还难。这只是我的个人观点,无论各位是否同意这一观点,我只是想表达一下自己的担忧和恐慌。"
  实际上,这些物联网设备中存在的安全问题远远不止这些。比如说,很多物联网设备压根都没有配置可行的更新机制。一般来说,当厂家发现了相应的漏洞之后,我们可以通过更新设备来提升安全性。但是如果设备连可行的更新机制都没有的话,那你要用户如何是好?
  Caltum说到:"首先,这些设备在出厂的时候就存在安全问题。其次,用户也无法获取到可用的固件更新。想必各位家里或多或少都会有一些联网设备吧?你可以回忆一下,你上一次更新这些设备的固件是什么时候的事情了?"
  我们可以肯定的是,科技正在不断向前发展,将来肯定会有更多的设备接入互联网,攻击者肯定不会放过这样的机会。所以各大物联网设备制造商们,请长点儿心吧,是时候将物联网设备的安全问题提上日程了!






欢迎光临 开发者俱乐部 (http://xodn.com/) Powered by Discuz! X3.2