Уязвимость в OpenSSH позволяет использовать IoT в качестве прокси
14.10.2016
С помощью конфигурационной опции в демонах SSH хакеры используют устройства "Интернета вещей" (IoT) в качестве прокси при передаче вредоносного трафика. Для этого они эксплуатируют уязвимость в OpenSSH 12-летней давности.
CVE-2004-1653 была обнаружена в 2004 году и исправлена в начале 2005 года. Уязвимость затрагивала конфигурацию по умолчанию в OpenSSH (sshd). Дело в том, что в заводских настройках старых версий клиентов OpenSSH была активирована функция TCP-перенаправления, благодаря чему удаленные аутентифицированные пользователи могли осуществлять проброс портов.
Уязвимость не считалась опасной, поскольку для ее эксплуатации у атакующего должен быть доступ к устройству по SSH. Тем не менее, если злоумышленнику удастся получить доступ к системе с помощью брутфорс-атаки (путем подбора учетных данных из списка незащищенных паролей), он может использовать ее в качестве прокси.
Вышеупомянутая функция уже в течение многих лет отсутствует в OpenSSH, однако данное ПО используется во многих устройствах "Интернета вещей" по всему миру. Поскольку функции их аппаратного обеспечения весьма ограниченны, ботнеты из IoT-устройств используются только для осуществления брутфорс- и DDoS-атак, а также для передачи трафика.
Согласно отчету Akamai, опубликованному 12 октября текущего года, эксперты зафиксировали большой объем вредоносного трафика, источником которого являются IoT-устройства. Злоумышленники осуществляют брутфорс-атаки на гаджеты "Интернета вещей", изменяют настройки конфигурации SSH, активировав опцию "AllowTcpForwarding", а затем используют эти устройства в качестве прокси для передачи трафика. Таким образом хакерам удается скрыть истинный источник любой атаки, будь то брутфорс или DDoS.
