12年前的SSH漏洞还能用?物联网设备的安全令人堪忧

简介:

概述

根据国外媒体的最新报道,Akamai公司的安全研究专家在这周发现了一种新型的攻击方式。根据安全专家的描述,攻击者可以使用一个存在了十二年之久的SSH漏洞,并配合一些安全性较弱的证书来攻击物联网设备和智能家居设备。在获取到这些联网设备的控制权之后,攻击者就可以将它们作为代理并窃取第三方Web应用的凭证了。

由此看来,对于网络攻击者而言,联网设备的作用已经不仅仅局限于用来发动分布式拒绝服务攻击(DDoS)了。

攻击分析

这种被称为“Credential Stuffing”(凭证填充)的攻击方式在自动化程度上与暴力破解攻击十分相似,因为这种攻击同样会不断地去验证被盗密码的有效性。

Akamai公司表示,他们的客户从今年的二月份就开始不断地向他们报告异常的网络活动了,而该公司的安全研究人员也意识到他们的客户很可能遭到了网络攻击。该公司估计,目前至少有两百万的物联网设备和网络设备已经被攻击了,而且攻击者正在利用这些设备作为代理来进行“Credential-Stuffing”攻击。据了解,攻击者利用的是SSH配置中的一个漏洞,但是据说这个漏洞(CVE-2004-1653)早在2004年的时候就已经被修复了。

Akamai公司高级安全研究团队的主管Ezra Caltum表示:“根据我们的发现,攻击者曾尝试通过暴力破解攻击来登录我们其中一名客户的计算机系统。为了避免攻击行为被追踪到,他们通常需要使用不同的代理,否则将会出现同一个IP地址发送大量网络请求的情况。这样一来,他们的攻击行为就会被标记为恶意行为。”为此,Caltum和Akamai公司威胁研究中心的高级主管Ory Segal在这周共同发布了一份安全公告,感兴趣的同学可以阅读一下。[报告传送门]

Caltum说到:“我们发现,攻击者目前仍然可以利用这个旧的漏洞来攻击物联网设备。攻击成功之后,他们便会将这些设备当作代理来使用,而攻击者的目的就是为了在目标主机中找出有效的凭证。”

虽然这个SSH漏洞早在2004年就已经被修复了,但很明显的是,很多物联网设备制造商仍然会在他们的产品中使用安全性较弱的SSH配置。这也就使得目前很多监控摄像头、网络视频记录设备、硬盘录像机、卫星天线设备、联网的存储设备、宽带调制解调器、以及路由器等联网设备都将处于安全风险之中。

在Akamai公司的取证调查过程中,安全研究人员对那些来自于网络视频记录设备的可疑流量(HTTP/HTTPS)进行了分析和检测。分析结果表明,目标设备上并不存在任何未经身份验证的用户,但是当研究人员检测设备系统的进程ID时,他们发现所有的活动链接都使用了SSH守护进程(sshd),而且已经有人使用了设备的默认登录凭证(admin:admin)来访问过这些设备了。

管理员可以通过SSH来访问设备吗?

奇怪的是,管理员用户是不允许通过SSH来与设备进行连接和通信的,如果管理员尝试通过SSH来访问设备的话,nologin命令将会强制断开链接。但是,攻击者可以通过SSH来实现一个SOCKS代理,而这样就可以绕过nologin的限制了。

Caltum说到:“其中最有趣的地方在于,这是一个十二年前的漏洞了,而且关于这个漏洞的详细信息几乎可以在网络中随意获取到。这并不是一个新型的安全漏洞,而现在已经是2016年了,但是这些物联网设备却仍然会受到这一漏洞的影响。”

从目前能够获取到的信息来看,攻击者之所以要测试这些凭证的有效性,很有可能是为了要将这些凭证数据在其他地方转手出售。Akamai公司警告称,虽然就目前的情况来看,攻击者只会对那些接入互联网的服务器进行暴力破解攻击。但需要注意的是,我们的内部网络同样也有可能受到这种攻击的影响。

缓解方案

 

为此,Akamai公司也给广大用户提供了一些攻击缓解方案。该公司的安全研究人员表示,用户可以立刻修改设备的默认凭证,如果有可能的话,最好也禁用SSH服务。除此之外, 用户也可以在SSHd_config配置文件中添加配置项“AllowTCPForwarding=True”。当然了,用户们也可以配置相应的防火墙规则,这样就可以有效地阻止他人使用SSH来从受信的外部IP地址访问物联网设备了。

与此同时,各大设备制造商在生产物联网设备时,不仅应该尽量避免为设备配置默认的登录凭证,而且也不应该设置任何的隐藏账号。除此之外,设备在出厂时应该默认禁用SSH,或者禁用设备的TCP转发功能。

总结

随着信息安全技术的不断发展,物联网设备也逐渐成为了攻击者手中的一种攻击利器。据了解,kerbsonsecurity.com以及其他的一些网站都曾经遭受过特殊的大规模分布式拒绝服务攻击。与以前不同,发动这种特殊DDoS攻击的设备均为物联网设备。据此推测,由物联网设备组成的大型僵尸网络在今后将很有可能继续发动更大规模的网络攻击。就目前的情况来看,现在大部分的物联网设备中都存在很多安全问题,而攻击者就可以利用这些安全漏洞来控制物联网设备,并利用这些设备来向第三方Web服务发起攻击。

Caltum表示:“就此看来,想要解决物联网设备的安全问题并改变目前的安全现状,几乎比登天还难。这只是我的个人观点,无论各位是否同意这一观点,我只是想表达一下自己的担忧和恐慌。”

实际上,这些物联网设备中存在的安全问题远远不止这些。比如说,很多物联网设备压根都没有配置可行的更新机制。一般来说,当厂家发现了相应的漏洞之后,我们可以通过更新设备来提升安全性。但是如果设备连可行的更新机制都没有的话,那你要用户如何是好?

Caltum说到:“首先,这些设备在出厂的时候就存在安全问题。其次,用户也无法获取到可用的固件更新。想必各位家里或多或少都会有一些联网设备吧?你可以回忆一下,你上一次更新这些设备的固件是什么时候的事情了?”

我们可以肯定的是,科技正在不断向前发展,将来肯定会有更多的设备接入互联网,攻击者肯定不会放过这样的机会。所以各大物联网设备制造商们,请长点儿心吧,是时候将物联网设备的安全问题提上日程了!


作者:佚名

来源:51CTO

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
1月前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
89 12
|
1月前
|
Web App开发 网络协议 安全
基于Web攻击的方式发现并攻击物联网设备介绍
基于Web攻击的方式发现并攻击物联网设备介绍
42 4
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第26天】随着物联网(IoT)技术的快速发展,智能设备已广泛应用于智能家居、工业控制和智慧城市等领域。然而,设备数量的激增也带来了严重的安全问题,如黑客攻击、数据泄露和恶意控制,对个人隐私、企业运营和国家安全构成威胁。因此,加强物联网设备的安全防护至关重要。
95 7
|
29天前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
2月前
|
物联网
物联网卡不能使用在什么设备上
“物联网卡不能使用在什么设备上”这一操作或规定,通常基于物联网卡的特性、使用条款以及设备兼容性等因素。以下是对这一问题的详细分析和操作建议:
|
1月前
|
监控 安全 物联网安全
物联网安全与隐私保护技术
物联网安全与隐私保护技术
73 0
|
2月前
|
存储 监控 物联网
医疗物联网设备精细化管理系统解决方案
华汇数据智慧医院物联网管理系统解决方案是一种集物联网、云计算、大数据和人工智能等先进技术于一体的综合性解决方案,旨在提升医院的运营效率、医疗质量和患者满意度。
85 3
|
2月前
|
安全 物联网
物联网卡不能更换设备使用吗
物联网卡(IoT SIM卡)是否允许更换设备使用,这主要取决于物联网服务提供商的具体政策和服务条款。通常,物联网卡是为特定设备或应用场景设计的,因此一些服务提供商会限制卡的更换使用,主要是出于安全、管理、网络优化和避免滥用等考虑
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第27天】随着物联网技术的快速发展,智能设备已广泛应用于生活和工业领域。然而,物联网设备的安全问题日益凸显,主要威胁包括中间人攻击、DDoS攻击和恶意软件植入。本文探讨了物联网设备的安全防护策略和最佳实践,包括设备认证和加密、定期更新、网络隔离以及安全标准的制定与实施,旨在确保设备安全和数据保护。
70 0
|
2月前
|
人工智能 安全 物联网

热门文章

最新文章

相关产品

  • 物联网平台