Мир: Уязвимость в OpenSSH позволяет использовать IoT в качестве прокси

0

С помощью конфигурационной опции в демонах SSH хакеры используют устройства “Интернета вещей” (IoT) в качестве прокси при передаче вредоносного трафика. Для этого они эксплуатируют уязвимость в OpenSSH 12-летней давности.

CVE-2004-1653 была обнаружена в 2004 г. и исправлена в начале 2005 г. Уязвимость затрагивала конфигурацию по умолчанию в OpenSSH (sshd). Дело в том, что в заводских настройках старых версий клиентов OpenSSH была активирована функция TCP-перенаправления, благодаря чему удаленные аутентифицированные пользователи могли осуществлять проброс портов.

Уязвимость не считалась опасной, поскольку для ее эксплуатации у атакующего должен быть доступ к устройству по SSH. Тем не менее, если злоумышленнику удастся получить доступ к системе с помощью брутфорс-атаки (путем подбора учетных данных из списка незащищенных паролей), он может использовать ее в качестве прокси.

Вышеупомянутая функция уже в течение многих лет отсутствует в OpenSSH, однако данное ПО используется во многих устройствах “Интернета вещей” по всему миру. Поскольку функции их аппаратного обеспечения весьма ограниченны, ботнеты из IoT-устройств используются только для осуществления брутфорс- и DDoS-атак, а также для передачи трафика.

Согласно отчету Akamai, опубликованному 12 октября текущего года, эксперты зафиксировали большой объем вредоносного трафика, источником которого являются IoT-устройства. Злоумышленники осуществляют брутфорс-атаки на гаджеты “Интернета вещей”, изменяют настройки конфигурации SSH, активировав опцию “AllowTcpForwarding”, а затем используют эти устройства в качестве прокси для передачи трафика. Таким образом хакерам удается скрыть истинный источник любой атаки, будь то брутфорс или DDoS. (OpenSSH/NovostIT)