DDoS-атаки — далеко не единственный способ неправомерного применения устройств, подключенных к Интернету. Исследователи из Akamai рассказали, как злоумышленники используют уязвимость 12-летней давности для компрометации «умных» и сетевых устройств, чтобы использовать их как прокси для проверки краденых идентификаторов на пригодность для массовых атак на интернет-мишени, сервисы (HTTP, SMTP) и локальные сети.

Подобная техника автоматизированной проверки известна как credential stuffing — вброс регистрационных данных, который сродни брутфорсу, однако перебор вариантов при этом осуществляется не по словарю или спискам расхожих логинов и паролей, а по заранее приобретенной базе краденых данных.

Akamai впервые обратила внимание на эти атаки в феврале, когда ее клиенты начали рапортовать о необычной активности; в сентябре случаи использования ошибки в дефолтных настройках OpenSSH, исправленной еще в 2004 году (CVE-2004-1653), участились. На настоящий момент, по оценке экспертов, не менее 2 млн IoT-устройств скомпрометированы и используются как прокси в атаках по методу credential stuffing.

«Они пытались залогиниться вместо одного из наших клиентов, подбирая имя пользователя и пароль посредством брутфорс-атаки, — рассказывает Эзра Калтум (Ezra Caltum), топ-менеджер группы специалистов по ИБ в Akamai. — Чтобы не светиться, им пришлось использовать различные прокси, в противном случае тысячи запросов с одного и того же IP-адреса непременно возбудили бы подозрения». На прошлой неделе Калтум и Ори Сегаль (Ory Segal), старший директор Akamai по исследованию угроз, опубликовали информационный бюллетень, посвященный атакам, которые в компании нарекли SSHowDown Proxy.

«Мы обнаружили, что атакующие используют эту давнюю уязвимость с тем, чтобы использовать IoT-устройства как прокси, — говорит Калтум. — Их целью является выявление валидных идентификаторов».

Согласно данным Akamai, большинство жертв — представители игровой индустрии, ритейла и гостиничного бизнеса. К сожалению, в отчете ничего не говорится о том, насколько успешны эти атаки и использовались ли они как точка входа для дальнейшего проникновения в сеть.

Патч для CVE-2004-1653 вышел давно, однако многие вендоры устройств с интернет-доступом: CCTV, сетевых видеорегистраторов, DVR, средств спутниковой связи, роутеров, кабельных модемов, NAS и т.п. — все еще поставляют их в уязвимой конфигурации.

В ходе расследования экспертам попался образец подозрительного HTTP- и HTTPS-трафика, исходящего с сетевого устройства видеозаписи (NVR). Неавторизованных пользователей на устройстве не было, однако проверка ID процесса показала, что на всех активных соединениях используется SSH-демон (sshd), а вход выполнен под дефолтной парой admin:admin. Это было странно: пользователям с правами администратора соединение по SSH было запрещено и должно было быть сброшено, согласно файлу /passwd (для пользователя admin в поле command/shell было проставлено значение /sbin/nologin). Тем не менее оказалось, что атакующий воспользовался способностью SSH работать как SOCKS-прокси, в частности его опцией перенаправления TCP-соединений (AllowTCPForwarding=True) в обход ограничения /sbin/nologin.

«Как оказалось, мы имеем дело с уязвимостью 12-летней давности, той старой CVE, о которой много где читали, — сокрушается Калтум. — Новизны здесь никакой нет, однако на дворе уже 2016 год, а злоупотребления продолжаются, и уязвимые IoT-устройства используются в качестве прокси». На настоящий момент Akamai зафиксировала атаки credential stuffing лишь против серверов, доступных из Сети, однако исследователи не исключают возможность аналогичных атак против внутренних сетей, в которых размещены уязвимые IoT-устройства.

Во избежание злоупотреблений Akamai рекомендует сменить дефолтные идентификаторы и по возможности отключить SSH или добавить в sshd_config запрет на TCP-перенаправление — AllowTCPForwarding No. На межсетевом экране следует ввести правила для предотвращения внешнего доступа к IoT-устройствам по SSH, ограничив его небольшим набором доверенных IP-адресов, к примеру внутренней сетью. Кроме того, можно также с помощью аналогичных правил для IoT ввести запрет на туннельные соединения в исходящем трафике.

Вендоров исследователи призывают избегать поставки устройств с незадокументированными аккаунтами, поощрять пользователей к замене дефолтных учетных данных, отключать SSH или конфигурировать его на запрет TCP Forwarding и предоставить пользователям надежную процедуру обновления настроек sshd с тем, чтобы при появлении уязвимостей им не приходилось долго ждать новую прошивку.

«Вендоры поставляют заведомо ненадежные устройства, и потом очень трудно бывает отыскать обновления прошивки, — подтвердил Калтум. — Взять хотя бы те устройства, которые у вас дома. Как давно вы в последний раз обновляли их прошивки?»

Категории: Аналитика, Главное, Уязвимости, Хакеры